Articles

Drupalgeddon 2.0 fortfarande Haunting 115k+ platser

Posted on

mer än 115,000 platser är fortfarande sårbara för en mycket kritisk Drupal bugg – även om en patch släpptes för tre månader sedan.

när det först avslöjades påverkade buggen, som har kallats Drupalgeddon 2.0, uppskattningsvis 1+ miljoner webbplatser som kör Drupal – inklusive stora amerikanska utbildningsinstitutioner och statliga organisationer runt om i världen. Enligt forskaren Troy Mursch är upp till 115 070 webbplatser fortfarande sårbara, inklusive webbplatser för ett stort tv-nätverk, ett massmedie-och underhållningskonglomerat och två ”välkända tillverkare av datormaskinvara.”

en patch för critical remote-code execution bug (CVE-2018-7600) har varit tillgänglig sedan mars. Drupalgeddon 2.0″ tillåter potentiellt angripare att utnyttja flera attackvektorer på en Drupal-webbplats, vilket kan leda till att webbplatsen komprometteras helt”, enligt Mitres Common Vulnerabilities and Exposures bulletin.

jag har delat listan över 115 070 sårbara Drupal-webbplatser med @USCERT_gov och @drupalsecurity. På grund av den mycket kritiska risken för att CVE-2018-7600 utnyttjas kommer listan inte att delas offentligt.

av dessa webbplatser var mer än 115 000 sårbara, sade Mursch, men det kan vara mer: han sa att han inte kunde fastställa versionerna som användes för 225 056 av webbplatserna. Cirka 134 447 platser var inte sårbara.

Mursch berättade Threatpost han har gått längs listan över påverkade platser till CERTs och andra statliga organisationer för att få hjälp att meddela dem.

under tiden, medan forskaren skannade efter utsatta webbplatser, hittade han också ännu en ny kryptojacking-kampanj riktad mot Drupal-webbplatser.

kampanjen, som använder domännamnet upgraderservicescf för att injicera Coinhive, påverkar över 250 webbplatser, inklusive en polisavdelnings webbplats i Belgien och Colorado Attorney General ’ s office.

Coinhive är ett företag som erbjuder en Monero JavaScript-gruvarbetare till webbplatser som ett icke-traditionellt sätt att tjäna pengar på webbplatsinnehåll. Coinhives JavaScript miner programvara används ofta av hackare, som sneakily bädda in koden i webbplatser och sedan min Monero valuta genom att trycka på CPU processorkraft av ovetande besökare telefoner, tabletter och datorer.

jag har övervakat den senaste #cryptojacking-kampanjen med upgraderservicescf för att injicera #Coinhive på sårbara Drupal-webbplatser. Listan över berörda webbplatser har lagts till i kalkylbladet.https://t.co/ukZux5aSuM

— rapport om dåliga paket (@bad_packets) juni 5, 2018

Mursch sa att USA-CERT har meddelats om den aktiva kampanjen.

cryptomining-kampanjen är bara den senaste som utnyttjar huvudvärk som är Drupal glitch. Tidigare i maj fann forskare vid Imperva Incapsula en kryptomineringsprogram som kallades” kitty ” riktade servrar och webbläsare öppna för Drupalgeddon 2.0. Dessutom installerar ett botnet som kallas Muhstik cryptocurrency miners och lanserar DDoS-attacker via komprometterade system. På senare tid verkar angripare bakom en ransomware-attack som slår på det ukrainska Energiministeriet ha använt sig av det mycket kritiska exekveringsfelet för fjärrkod.

”den här senaste kryptojacking-kampanjen är ännu ett exempel på att Drupal-webbplatser utnyttjas i massskala”, sa Mursch. ”Om du är en webbplatsoperatör som använder Drupals innehållshanteringssystem måste du uppdatera till den senaste tillgängliga versionen ASAP.”

Lämna ett svar

Din e-postadress kommer inte publiceras.