Articles

Drupalgeddon 2.0 Hante toujours plus de 115 000 sites

Posted on

Plus de 115 000 sites sont toujours vulnérables à un bogue Drupal très critique, même si un correctif a été publié il y a trois mois.

Lorsqu’il a été révélé pour la première fois, le bogue, surnommé Drupalgeddon 2.0, a affecté environ 1 + million de sites exécutant Drupal – y compris les principaux établissements d’enseignement américains et les organisations gouvernementales du monde entier. Selon le chercheur Troy Mursch, jusqu’à 115 070 sites sont toujours vulnérables, y compris les sites Web d’un grand réseau de télévision, d’un conglomérat de médias de masse et de divertissement et de deux « fabricants de matériel informatique bien connus. »

Un correctif pour le bogue critique d’exécution de code à distance (CVE-2018-7600) est disponible depuis mars. Drupalgeddon 2.0 « permet potentiellement aux attaquants d’exploiter plusieurs vecteurs d’attaque sur un site Drupal, ce qui pourrait entraîner une compromission complète du site », selon le bulletin commun sur les vulnérabilités et les expositions de MITRE.

J’ai partagé la liste des 115 070 sites Drupal vulnérables avec @USCERT_gov et @drupalsecurity. En raison du risque très critique d’exploitation de CVE-2018-7600, la liste ne sera pas partagée publiquement.

— Rapport sur les paquets défectueux (@bad_packets) Juin 5, 2018

Parmi ces sites, plus de 115 000 étaient vulnérables, a déclaré Mursch, mais c’est peut-être plus: il a déclaré qu’il ne pouvait pas déterminer les versions utilisées pour 225 056 des sites. Environ 134 447 sites n’étaient pas vulnérables.

Mursch a déclaré à Threatpost qu’il avait transmis la liste des sites impactés aux CERTS et à d’autres organisations gouvernementales pour obtenir de l’aide pour les notifier.

Pendant ce temps, alors que le chercheur recherchait des sites vulnérables, il a également trouvé une autre nouvelle campagne de cryptojacking ciblant les sites Web Drupal.

La campagne, qui utilise le nom de domaine upgraderservicescf pour injecter Coinhive, a un impact sur plus de 250 sites Web, dont le site Web d’un service de police en Belgique et le bureau du procureur général du Colorado.

Coinhive est une société qui propose un mineur JavaScript Monero aux sites Web comme moyen non traditionnel de monétiser le contenu du site Web. Le logiciel de mineur JavaScript de Coinhive est souvent utilisé par les pirates informatiques, qui intègrent sournoisement le code dans des sites Web, puis exploitent la monnaie Monero en exploitant la puissance de traitement du processeur des téléphones, tablettes et ordinateurs involontaires des visiteurs du site.

J’ai suivi la dernière campagne #cryptojacking à l’aide de upgraderservicescf pour injecter #Coinhive sur des sites Web Drupal vulnérables. La liste des sites concernés a été ajoutée à la feuille de calcul.https://t.co/ukZux5aSuM

— Rapport sur les paquets défectueux (@bad_packets) Juin 5, 2018

Mursch a déclaré que le CERT américain avait été informé de la campagne active.

La campagne de cryptomining n’est que la plus récente à tirer parti du mal de tête qu’est le problème Drupal. Plus tôt en mai, des chercheurs d’Imperva Incapsula ont découvert un logiciel malveillant de cryptomonnaie baptisé « kitty » ciblant les serveurs et les navigateurs ouverts à Drupalgeddon 2.0. En outre, un botnet baptisé Muhstik installe des mineurs de crypto-monnaie et lance des attaques DDoS via des systèmes compromis. Plus récemment, les attaquants à l’origine d’une attaque de ransomware frappant le ministère ukrainien de l’Énergie semblent avoir utilisé le bogue d’exécution de code à distance très critique.

« Cette dernière campagne de cryptojacking est un autre exemple de sites Web Drupal exploités à grande échelle », a déclaré Mursch. « Si vous êtes un opérateur de site Web utilisant le système de gestion de contenu de Drupal, vous devez mettre à jour la dernière version disponible dès que possible. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.