В конце октября исследователи из Imperva зафиксировали короткую серию атак, нацеленных на угон Linux-серверов. Чтобы добраться до цели и открыть бэкдор, злоумышленники пытались использовать две уязвимости — Drupalgeddon 2 и Dirty COW.

Точкой входа служили сайты, использующие непропатченную CMS-систему Drupal. Эксплойт бреши удаленного исполнения кода (RCE), известной как Drupalgeddon 2, позволяет атакующим получить доступ к сайту. Отсюда они могут начать просмотр файлов локальных настроек с целью получения паролей к базе данных.

Подобная тактика, по словам экспертов, вполне себя оправдывает, так как многие администраторы в качестве дефолтного пользователя базы данных оставляют root. Обнаружив такой аккаунт в настройках соединений, злоумышленники пытались использовать пароль для повышения привилегий на сервере. Если это не удавалось, авторы атаки пускали в ход другой эксплойт — к уязвимости Dirty COW (исследователи идентифицировали три варианта зловредного кода). Доступ уровня root был им нужен, чтобы установить на сервере SSH-демон и открыть канал связи для передачи вредоносных команд.

В ходе интервью для ZDNet глава аналитиков Imperva Надав Авитал (Nadav Avital) заявил, что защитные решения компании заблокировали эксплойт на «десятках сайтов», поэтому конечную цель атакующих выяснить не удалось. Эксперт полагает, что ею вполне мог быть криптоджекинг: авторы 88% RCE-атак, зарегистрированных Imperva в декабре прошлого года, пытались установить майнер.

Журналист ZDNet в свою очередь отметил, что эксплойт-кампания, о которой рассказал Авитал, на самом деле могла быть гораздо масштабнее: на большинстве серверов демон SSH уже запущен, и злоумышленникам не нужно полностью отрабатывать свой сценарий.

Их атаки полагались на использование двух хорошо известных уязвимостей, патчи для которых давно выпущены. Владельцы сайтов и серверов могут с легкостью оградить себя от подобных нападений, обновив CMS Drupal и Linux-серверы. Собеседника ZDNet больше всего печалит актуальность уязвимости Drupalgeddon 2. Разработчики закрыли ее полгода назад, однако попытки эксплойта до сих пор не утихают, так как темпы латания этой в высшей степени опасной бреши на местах, по выражению Авитала, «летаргические».

Категории: Уязвимости, Хакеры