Articles

Drupalgeddon 2.0 ancora ossessionante 115K + Siti

Posted on

Più di 115.000 siti sono ancora vulnerabili a un bug Drupal altamente critico – anche se una patch è stata rilasciata tre mesi fa.

Quando è stato rivelato per la prima volta, il bug, che è stato soprannominato Drupalgeddon 2.0, ha avuto un impatto stimato su 1+ milioni di siti che eseguono Drupal, incluse le principali istituzioni educative statunitensi e organizzazioni governative in tutto il mondo. Secondo il ricercatore Troy Mursch, fino a 115.070 siti sono ancora vulnerabili, compresi i siti web di una grande rete televisiva, un conglomerato di mass media e intrattenimento e due “noti produttori di hardware per computer.”

Una patch per il bug critico di esecuzione del codice remoto (CVE-2018-7600), è disponibile da marzo. Drupalgeddon 2.0 “potenzialmente consente agli aggressori di sfruttare più vettori di attacco su un sito Drupal, il che potrebbe causare il sito completamente compromesso”, secondo il Common Vulnerabilities and Exposures bulletin di MITRE.

Ho condiviso l’elenco di 115.070 siti Drupal vulnerabili con @USCERT_gov e @drupalsecurity. A causa del rischio altamente critico di sfruttamento di CVE-2018-7600, l’elenco non verrà condiviso pubblicamente.

— Report pacchetti errati (@bad_packets) giugno 5, 2018

Di quei siti, più di 115.000 erano vulnerabili, ha detto Mursch, ma potrebbe essere più: Ha detto che non poteva accertare le versioni utilizzate per 225.056 dei siti. Circa 134.447 siti non erano vulnerabili.

Mursch ha detto a Threatpost di aver passato l’elenco dei siti interessati ai CERT e ad altre organizzazioni governative per chiedere aiuto.

Nel frattempo, mentre il ricercatore stava scansionando i siti vulnerabili, ha anche trovato un’altra nuova campagna di cryptojacking rivolta ai siti Web di Drupal.

La campagna, che utilizza il nome di dominio upgraderservicescf per iniettare Coinhive, ha un impatto su 250 siti Web, tra cui il sito Web di un dipartimento di polizia in Belgio e l’ufficio del Procuratore generale del Colorado.

Coinhive è una società che offre un minatore Monero JavaScript ai siti web come un modo non tradizionale per monetizzare i contenuti del sito web. Il software JavaScript miner di Coinhive è spesso utilizzato dagli hacker, che incorporano furtivamente il codice nei siti Web e poi estraggono la valuta Monero toccando la potenza di elaborazione della CPU dei telefoni, dei tablet e dei computer dei visitatori inconsapevoli del sito.

Ho monitorato l’ultima campagna #cryptojacking usando upgraderservicescf per iniettare #Coinhive su siti Web vulnerabili di Drupal. L’elenco dei siti interessati è stato aggiunto al foglio di calcolo.https://t.co/ukZux5aSuM

— Report Pacchetti errati (@bad_packets) giugno 5, 2018

Mursch ha detto che gli Stati Uniti-CERT è stato notificato della campagna attiva.

La campagna di cryptomining è solo la più recente per sfruttare il mal di testa che è il problema tecnico di Drupal. All’inizio di maggio, i ricercatori di Imperva Incapsula hanno trovato un malware cryptomining soprannominato “kitty” targeting server e browser aperti a Drupalgeddon 2.0. Inoltre, una botnet soprannominata Muhstik installa minatori di criptovaluta e lancia attacchi DDoS tramite sistemi compromessi. Più recentemente, gli aggressori dietro un attacco ransomware che colpisce il Ministero dell’Energia ucraino sembrano aver fatto uso del bug di esecuzione del codice remoto altamente critico.

“Questa ultima campagna di cryptojacking è un altro esempio di siti web Drupal sfruttati su scala di massa”, ha detto Mursch. “Se sei un operatore di siti web che utilizza il sistema di gestione dei contenuti di Drupal, è necessario aggiornare all’ultima versione disponibile al più presto.”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.