La vulnerabilidad de Drupalgeddon 2.0 está siendo explotada nuevamente por los atacantes usando una técnica tradicional de Shellbot o PerlBot.
Los investigadores advierten sobre una nueva ola de ataques cibernéticos contra sitios web de Drupal sin parches que son vulnerables a Drupalgeddon 2.0. Lo que es exclusivo de esta última serie de ataques es que los adversarios están utilizando malware PowerBot, un bot controlado por IRC también llamado PerlBot o Shellbot.
Los investigadores de los Servicios de Seguridad Gestionados de IBM Security informaron sobre la actividad el miércoles y dijeron que un ataque exitoso puede abrir una puerta trasera a los sitios web vulnerables de Drupal, dando a los adversarios un control completo sobre el sitio. Bajo el NIST Common Maluse Scoring System , la vulnerabilidad Drupalgeddon 2.0 recibió una puntuación de 24/25, o altamente crítica.
El equipo de seguridad de Drupal ha sabido sobre la vulnerabilidad desde al menos marzo , informando bajo CVE-2018-7600 . Actualizar versiones anteriores de Drupal 7 a 7.58 y versiones anteriores de Drupal 8 a 8.5.1 parcheará el error de Drupalgeddon. Se estima que Drupal se utiliza en el 2.3 por ciento de todos los sitios web y aplicaciones web en todo el mundo.
"Aquellos que se encuentran sin parches o vulnerables por alguna otra razón podrían caer bajo el control del atacante, lo que podría significar un compromiso total de ese sitio", escribieron los coautores Noah Adjonyo y Limor Kessem en una publicación de blog. "Con este nivel de control, el atacante tiene acceso al sitio como un recurso desde el cual puede robar datos, alojar contenido malicioso o lanzar ataques adicionales"
Según los investigadores, los atacantes escanean sitios web buscando específicamente la vulnerabilidad Drupalgeddon 2.0. Si el objetivo tiene el error, los atacantes escanean las páginas / user / register y / user / password en la fase de instalación mientras se realiza un ataque de fuerza bruta para obtener una contraseña de usuario. Una vez que el atacante ha roto el vector de autenticación, instala la puerta trasera de Shellbot. La instancia de Shellbot que los investigadores de IBM han visto conectada a un canal IRC, utilizando el canal como centro para las instrucciones del servidor de comando y control.
Shellbot es un script de puerta trasera malicioso que existe desde 2005. Está diseñado para explotar sitios web controlados por bases de datos MySQL, incluidos aquellos con un sistema de gestión de contenido (CMS) como Drupal. Shellbot se está reconfigurando constantemente para atacar diferentes vulnerabilidades de ejecución remota de código. A medida que pasa el tiempo, es posible que una versión de Shellbot pueda estar explotando vulnerabilidades de la web que aún no han sido detectadas.
Una vez que el servidor de comando y control del atacante tiene acceso de shell a un sitio web Drupal de destino, pueden buscar vulnerabilidades de inyección de SQL, ejecutar ataques DDoS, distribuir correo no deseado de phishing y eliminar a cualquier cryptominer existente para instalar su propio malware criptográfico.
Durante el año 2017, desde que Drupalgeddon fue divulgado y parcheado públicamente , ha habido varias pandillas cibernéticas que han explotado la vulnerabilidad en sitios tan notables como el zoológico de San Diego, Lenovo y la Junta Nacional de Relaciones Laborales . En muchas de esas incidencias, los adversarios han apuntado a sistemas ideales para plantar mineros de criptomonedas.
"La inyección sigue siendo el elemento número uno en el top ten del Proyecto de seguridad de aplicaciones web abiertas", dijo Sean Wright, un ingeniero de seguridad de aplicaciones líder. “Sigue siendo un problema que se presenta a sí mismo y da como resultado cosas como la ejecución remota de código, como en este caso. Los equipos de desarrollo deben asegurarse de que desinfecten los datos que no controlan para evitar problemas como este ".
Otro problema que se presenta constantemente es la falta de parches. Las organizaciones se están poniendo en un riesgo significativo al no aplicar los parches apropiados. Después de la violación de Equifax el año pasado, uno hubiera pensado que esto habría sido un buen ejemplo de por qué es tan importante parchar. Lamentablemente esto parece no haber sido el caso.
Fecha actualización el 2021-10-14. Fecha publicación el 2018-10-14. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: threatpost