В конце марта команда Drupal обнаружила критическую уязвимость в CMS, позволявшую киберпреступникам удаленно выполнить код и перехватить контроль над сайтом. Эта RCE-дыра получила обозначение CVE-2018-7600, а в интернет-сообществе ее нарекли Drupalgeddon2.

Разработчики оценили ее опасность в 21 балл из максимальных 25 и оперативно выпустили исправления для основных версий Drupal 7.х и 8.х. Модификация 6.х, поддержка которой прекратилась в 2016 году, тоже получила патч.

Поскольку эта CMS используется более чем на миллионе сайтов и проконтролировать установку «заплаток» на всех ресурсах невозможно, производитель рекомендовал своим клиентам срочно обновить ПО до исправленных версий 7.58 или 8.5.1. Параллельно сотрудники нескольких компаний по кибербезопасности начали отслеживать попытки использования уязвимости Drupalgeddon2, поскольку эксплойты могли появиться уже через несколько часов после первой публикации о ней.

Больше двух недель (с 28 марта по 12 апреля) злоумышленники никак себя не проявляли, и только в пятницу, 13 апреля, ханипоты ИБ-специалистов зафиксировали первые попытки атаки. Компания Imperva сообщила о массовых нападениях из США (53%) и Китая (45%), причем основная доля активности приходилась на сканеры (90%), в 3% случаев киберпреступники пытались установить бэкдор, а еще в 2% — майнер.

Исследователи Imperva обратили внимание на время, прошедшее между публикацией информации о «свежей» уязвимости и первыми нападениями. По их мнению, «ленивые» злоумышленники две недели выжидали, когда эксплойт для Drupalgeddon2 разработает кто-нибудь другой.

Практически одновременно с Imperva информацию о ханипотах, зафиксировавших атаки по типу Drupalgeddon2, выложили на форуме SANS. Там сообщили, что одно из обнаруженных нападений, вероятно, исходит с сайта hackernews.cc (китайский новостной ресурс о кибербезопасности) и что основная активность приходится на майнинг и сканирование.

Во вторник, 17 апреля, на форуме SANS появился обзорный пост об атаках на Drupal через дыру CVE-2018-7600. В нем сообщается о трех основных видах полезной нагрузки, которую пытаются установить через эту брешь: майнерах, бэкдорах и Perl-ботах. Первые пытались загрузить 3814 раз, используя для этого порты 444 и 443.

Сначала нападения через Drupalgeddon2 были нацелены только на Drupal 8, однако мишенью последующих стала и седьмая версия. Судя по всему, злоумышленники доработали первоначальный эксплойт.

Категории: Главное, Уязвимости