Articles

Drupalgeddon 2.0 Sigue atormentando a más de 115K Sitios

Posted on

Más de 115.000 sitios siguen siendo vulnerables a un error de Drupal altamente crítico, a pesar de que se lanzó un parche hace tres meses.

Cuando se reveló por primera vez, el error, que se ha denominado Drupalgeddon 2.0, impactó a más de 1 millón de sitios que ejecutan Drupal, incluidas las principales instituciones educativas de los Estados Unidos y organizaciones gubernamentales de todo el mundo. Según el investigador Troy Mursch, hasta 115.070 sitios siguen siendo vulnerables, incluidos los sitios web de una gran red de televisión, un conglomerado de medios de comunicación y entretenimiento y dos «conocidos fabricantes de hardware informático».»

Un parche para el error crítico de ejecución de código remoto (CVE-2018-7600), ha estado disponible desde marzo. Drupalgeddon 2.0 «potencialmente permite a los atacantes explotar múltiples vectores de ataque en un sitio de Drupal, lo que podría resultar en que el sitio se vea completamente comprometido», según el boletín de Vulnerabilidades y exposiciones Comunes de MITRE.

He compartido la lista de 115.070 sitios vulnerables de Drupal con @USCERT_gov y @drupalsecurity. Debido al riesgo altamente crítico de que se explote CVE-2018-7600, la lista no se compartirá públicamente.

– Informe de paquetes defectuosos (@bad_packets) Junio 5, 2018

De esos sitios, más de 115,000 eran vulnerables, dijo Mursch, pero puede ser más: dijo que no pudo determinar las versiones utilizadas para 225,056 de los sitios. Alrededor de 134,447 sitios no eran vulnerables.

Mursch dijo a Threatpost que ha pasado la lista de sitios afectados a CERT y otras organizaciones gubernamentales para que les ayuden a notificarles.

Mientras tanto, mientras el investigador estaba buscando sitios vulnerables, también encontró otra nueva campaña de criptojacking dirigida a sitios web de Drupal.

La campaña, que utiliza el servicio de actualización de nombres de dominio para inyectar Coinhive, afecta a más de 250 sitios web, incluido el sitio web de un departamento de policía en Bélgica y la oficina del Fiscal General de Colorado.

Coinhive es una compañía que ofrece un minero JavaScript Monero a sitios web como una forma no tradicional de monetizar el contenido del sitio web. El software minero JavaScript de Coinhive es a menudo utilizado por hackers, que incrustan sigilosamente el código en sitios web y luego extraen moneda de moneda al aprovechar el poder de procesamiento de la CPU de los teléfonos, tabletas y computadoras de los visitantes involuntarios del sitio.

He estado monitoreando la última campaña #cryptojacking usando upgraderservicescf para inyectar # Coinhive en sitios web vulnerables de Drupal. La lista de sitios afectados se ha añadido a la hoja de cálculo.https://t.co/ukZux5aSuM

— Informe de paquetes defectuosos (@bad_packets) Junio 5, 2018

Mursch dijo que el CERT de EE.UU. ha sido notificado de la campaña activa.

La campaña de criptominería es solo la más reciente para aprovechar el dolor de cabeza que es el fallo de Drupal. A principios de mayo, investigadores de Imperva Incapsula encontraron un malware de criptominería llamado «kitty» dirigido a servidores y navegadores abiertos a Drupalgeddon 2.0. Además, una red de bots llamada Muhstik instala mineros de criptomonedas y lanza ataques DDoS a través de sistemas comprometidos. Más recientemente, los atacantes detrás de un ataque de ransomware que afectó al Ministerio de Energía de Ucrania parecen haber hecho uso del error de ejecución de código remoto altamente crítico.

«Esta última campaña de criptojacking es otro ejemplo de sitios web de Drupal que se explotan a gran escala», dijo Mursch. «Si eres un operador de sitios web que utiliza el sistema de gestión de contenido de Drupal, debes actualizar a la última versión disponible lo antes posible.»

Deja una respuesta

Tu dirección de correo electrónico no será publicada.