Как установил ИБ-исследователь Трой Мурш (Troy Mursch), в настоящее время более 115 тыс. сайтов используют вариант CMS-системы Drupal, содержащий уязвимость, известную как Drupalgeddon 2.

Эту чрезвычайно опасную брешь с идентификатором CVE-2018-7600 разработчики закрыли полтора месяца назад, заранее заявив о подготовке заплатки. Спустя две недели эксперты зафиксировали первые атаки с использованием Drupalgeddon 2. Некоторые попытки эксплойта оказались успешными: по всей видимости, далеко не все администраторы сайтов Drupal успели установить важный патч.

После публикации PoC-эксплойта подобные атаки приобрели массовый характер; недавнее исследование показало, что взломанные сайты в основном используются для криптоджекинга. Мурш отслеживает такие киберкампании и решил выяснить, каковы истинные масштабы бедствия, именуемого Drupalgeddon 2.

Поскольку большинство Drupal-сайтов ныне используют седьмую версию этой CMS-системы (около 832,5 тыс., согласно статистике проекта), эксперт ограничил свои поиски этой группой. Используя веб-сервис PublicWWW, Мурш смог выявить порядка 500 тыс. объектов для своего исследования.

Сканирование на предмет уязвимости показало, что 24,2% сайтов (115 070) используют Drupal выпуска ниже 7.58, то есть непропатченный вариант, а 28,3% получили соответствующее обновление. В остальных случаях точно определить сборку CMS эксперту не удалось.

По свидетельству Мурша, многие уязвимые сайты входят в список наиболее посещаемых ресурсов по версии Alexa, в том числе сайты крупных учебных заведений США и правительственных учреждений разных стран. Своими находками исследователь поделился с US-CERT и ИБ-командой Drupal.

В ходе сканирования Мурш обнаружил новую криптоджекинг-кампанию с участием Drupalgeddon 2. Злоумышленники зарегистрировали домен в TLD-зоне .cf (Центральноафриканской Республики) и используют его для внедрения майнера Coinhive. Исследователь уведомил хостинг-провайдера Cloudflare о злоупотреблении, и через 12 часов проблема была решена. Злоумышленникам пришлось перекочевать к другому хостеру — OVH — и приобрести у Let’s Encrypt новый SSL-сертификат для своего домена.

Муршу удалось идентифицировать 258 сайтов, задействованных в этой кампании. Один из них использует новейшую версию Drupal, однако апгрейд, по всей видимости, был произведен уже после заражения и без надлежащей очистки. В апрельском заявлении по поводу автоматизации эксплойта Drupalgeddon 2 безопасники Drupal подчеркнули: обновление CMS не удалит бэкдор и не исправит положение на взломанном сайте. Вместе с тем, если сервер был скомпрометирован, все размещенные на нем сайты тоже могут оказаться скомпрометированными.

Категории: Аналитика, Главное, Уязвимости, Хакеры