Articles

Drupalgeddon 2.0 verfolgt immer noch 115K+ Sites

Posted on

Mehr als 115.000 Sites sind immer noch anfällig für einen äußerst kritischen Drupal–Fehler – obwohl vor drei Monaten ein Patch veröffentlicht wurde.

Als es zum ersten Mal enthüllt wurde, betraf der Fehler, der als Drupalgeddon 2.0 bezeichnet wurde, schätzungsweise mehr als 1 Million Websites, auf denen Drupal ausgeführt wird – darunter große US-Bildungseinrichtungen und Regierungsorganisationen auf der ganzen Welt. Laut dem Forscher Troy Mursch sind immer noch bis zu 115.070 Websites anfällig, darunter Websites eines großen Fernsehsenders, eines Massenmedien- und Unterhaltungskonglomerats und zweier „bekannter Computerhardwarehersteller“.“

Ein Patch für den kritischen Remote-Code Execution Bug (CVE-2018-7600) ist seit März verfügbar. Drupalgeddon 2.0 „ermöglicht es Angreifern möglicherweise, mehrere Angriffsvektoren auf einer Drupal-Site auszunutzen, was dazu führen kann, dass die Site vollständig kompromittiert wird“, so MITRE’s Common Vulnerabilities and Exposures Bulletin.

Ich habe die Liste der 115.070 gefährdeten Drupal-Sites mit @USCERT_gov und @drupalsecurity geteilt. Aufgrund des sehr kritischen Risikos, dass CVE-2018-7600 ausgenutzt wird, wird die Liste nicht öffentlich geteilt.

– Fehlerhafte Pakete melden (@bad_packets) Juni 5, 2018

Von diesen Websites seien mehr als 115.000 anfällig, sagte Mursch, aber es könnten noch mehr sein: Er sagte, er könne die Versionen, die für 225.056 der Websites verwendet wurden, nicht ermitteln. Rund 134.447 Websites waren nicht anfällig.

Mursch sagte Threatpost, er habe die Liste der betroffenen Websites an CERTs und andere Regierungsorganisationen weitergegeben, um Hilfe bei der Benachrichtigung zu erhalten.

Während der Forscher nach anfälligen Websites suchte, fand er auch eine weitere neue Cryptojacking-Kampagne, die auf Drupal-Websites abzielte.

Die Kampagne, die den Domainnamen upgraderservicescf verwendet, um Coinhive zu injizieren, betrifft über 250 Websites, darunter die Website einer Polizeibehörde in Belgien und die Generalstaatsanwaltschaft von Colorado.

Coinhive ist ein Unternehmen, das Websites einen Monero JavaScript Miner als nicht-traditionelle Möglichkeit zur Monetarisierung von Website-Inhalten anbietet. Die JavaScript-Miner-Software von Coinhive wird häufig von Hackern verwendet, die den Code heimlich in Websites einbetten und dann die Monero-Währung abbauen, indem sie die CPU-Rechenleistung der Telefone, Tablets und Computer der Website-Besucher nutzen.

Ich habe die neueste #cryptojacking-Kampagne mit upgraderservicescf überwacht, um #Coinhive auf anfälligen Drupal-Websites zu injizieren. Die Liste der betroffenen Websites wurde der Tabelle hinzugefügt.https://t.co/ukZux5aSuM

— Fehlerhafte Pakete melden (@bad_packets) Juni 5, 2018

Mursch sagte, das US-CERT sei über die aktive Kampagne informiert worden.

Die Cryptomining-Kampagne ist nur die jüngste, um die Kopfschmerzen zu nutzen, die der Drupal-Fehler ist. Anfang Mai fanden Forscher von Imperva Incapsula eine Kryptomining-Malware namens „Kitty“, die auf Server und Browser abzielt, die für Drupalgeddon 2.0 geöffnet sind. Außerdem installiert ein Botnetz namens Muhstik Kryptowährungs-Miner und startet DDoS-Angriffe über kompromittierte Systeme. In jüngerer Zeit scheinen Angreifer hinter einem Ransomware-Angriff auf das ukrainische Energieministerium den äußerst kritischen Fehler bei der Ausführung von Remote-Code ausgenutzt zu haben.

„Diese neueste Cryptojacking-Kampagne ist ein weiteres Beispiel dafür, wie Drupal-Websites in großem Maßstab ausgenutzt werden“, sagte Mursch. „Wenn Sie ein Website-Betreiber sind, der das Content-Management-System von Drupal verwendet, müssen Sie so schnell wie möglich auf die neueste verfügbare Version aktualisieren.“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.