Взломщики сайтов взяли на вооружение RCE-уязвимость в Drupal, которую разработчики CMS-системы закрыли неделю назад. После публикации PoC-эксплойта к бреши злоумышленники стали активно сканировать Интернет в поисках незащищенных ресурсов и даже нашли дополнительный вектор атаки — еще одну небезопасную команду.

Как сообщалось ранее, уязвимость ядра CVE-2019-6340 присутствует в 7-й и 8-й версии Drupal. Специалисты выяснили, что система некорректно санирует команды, поступающие через запросы PUT, PATCH и POST. В результате сторонний пользователь может выполнить произвольный PHP-код и перехватить управление над сайтом.

Одновременно с описанием проблемы разработчики выпустили обновления для обеих версий ПО, которых она коснулась. Это не остановило преступников: они начали применять эксплойт уже на третий день после обнародования информации. По словам экспертов Imperva, они ежедневно наблюдают десятки таких попыток по своей пользовательской базе.

На данный момент в открытых источниках не сообщается об успешных случаях взлома с применением нового эксплойта. По информации аналитиков, организаторы кампании используют его для распространения JavaScript-майнера CoinIMP, предназначенного для добычи токенов Monero и Webchain. Взломщики пытаются встроить вредоносный код в файл index.php, чтобы сайт запускал скрипт при каждом открытии главной страницы.

В дополнение к криптомайнеру злоумышленники стремятся установить шелл-код, который позволит им закрепиться на взломанном ресурсе и впоследствии загружать дополнительные файлы. Эксперты ИБ отмечают, что эти образцы полезной нагрузки хорошо известны, поэтому правильно настроенный брандмауэр веб-приложений вполне способен обеспечить защиту от заражения.

Однако сама угроза взлома актуальности не потеряла. Более того, злоумышленники доработали методику, в результате чего атака будет успешной, даже если на сайте установлен рекомендуемый патч. Как выяснилось, в дополнение к известным ранее небезопасным запросам проблемы с санацией есть и у команды GET — это увеличивает площадь атаки и расширяет круг потенциальных жертв.

По оценке аналитиков, в реальности эксплойт угрожает небольшой доле сайтов — не более нескольких тысяч из 1,2 млн всех площадок на базе CMS. Уязвимость работает при комбинации нескольких условий, и администраторы могут защититься от нее простым изменением настроек.

Тем не менее, развернувшиеся события напомнили экспертам брешь Drupalgeddon 2, которая сохраняла актуальность на протяжении большей части 2018 года. Многие администраторы проигнорировали сообщение разработчиков, позволив взломщикам успешно вести криптоджекерские атаки и комбинировать уязвимость с другими опасными эксплойтами.

Категории: Уязвимости, Хакеры