Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Сканирование показало, что более 115 тыс. сайтов используют вариант CMS-системы, содержащий опасную брешь.
Как установил ИБ-исследователь Трой Мурш (Troy Mursch), в настоящее время более 115 тыс. сайтов используют вариант CMS-системы Drupal, содержащий уязвимость, известную как Drupalgeddon 2.
Эту чрезвычайно опасную брешь с идентификатором CVE-2018-7600 разработчики закрыли полтора месяца назад, заранее заявив о подготовке заплатки. Спустя две недели эксперты зафиксировали первые атаки с использованием Drupalgeddon 2. Некоторые попытки эксплойта оказались успешными: по всей видимости, далеко не все администраторы сайтов Drupal успели установить важный патч.
После публикации PoC-эксплойта подобные атаки приобрели массовый характер; недавнее исследование показало, что взломанные сайты в основном используются для криптоджекинга. Мурш отслеживает такие киберкампании и решил выяснить, каковы истинные масштабы бедствия, именуемого Drupalgeddon 2.
Поскольку большинство Drupal-сайтов ныне используют седьмую версию этой CMS-системы (около 832,5 тыс., согласно статистике проекта), эксперт ограничил свои поиски этой группой. Используя веб-сервис PublicWWW, Мурш смог выявить порядка 500 тыс. объектов для своего исследования.
Сканирование на предмет уязвимости показало, что 24,2% сайтов (115 070) используют Drupal 7 выпуска ниже 7.58, то есть непропатченный вариант, а 28,3% получили соответствующее обновление. В остальных случаях точно определить сборку CMS эксперту не удалось.
По свидетельству Мурша, многие уязвимые сайты входят в список наиболее посещаемых ресурсов по версии Alexa, в том числе сайты крупных учебных заведений США и правительственных учреждений разных стран. Своими находками исследователь поделился с US-CERT и ИБ-командой Drupal.
В ходе сканирования Мурш обнаружил новую криптоджекинг-кампанию с участием Drupalgeddon 2. Злоумышленники зарегистрировали домен в TLD-зоне .cf (Центральноафриканской Республики) и используют его для внедрения майнера Coinhive. Исследователь уведомил хостинг-провайдера Cloudflare о злоупотреблении, и через 12 часов проблема была решена. Злоумышленникам пришлось перекочевать к другому хостеру — OVH — и приобрести у Let’s Encrypt новый SSL-сертификат для своего домена.
Муршу удалось идентифицировать 258 сайтов, задействованных в этой кампании. Один из них использует новейшую версию Drupal, однако апгрейд, по всей видимости, был произведен уже после заражения и без надлежащей очистки. В апрельском заявлении по поводу автоматизации эксплойта Drupalgeddon 2 безопасники Drupal подчеркнули: обновление CMS не удалит бэкдор и не исправит положение на взломанном сайте. Вместе с тем, если сервер был скомпрометирован, все размещенные на нем сайты тоже могут оказаться скомпрометированными.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |