Cryptojacking en el sistema de gestion de contenido Drupal

Después de ordeñar servidores que ejecutan WordPress de sus recursos de CPU los hackers ahora están comenzando a pasarse a la plataformas menos popular como Drupal.

Una vulnerabilidad recientemente descubierta en Drupal, un sistema de administración de contenido para servidores web, fue explotada por hackers en varias ocasiones para extraer criptomonedas, según un análisis de un miembro del SANS Technology Institute.

Uno de los vectores de ataque más destacados era un programa de descarga que volcaría al minero y luego lo iniciaría.

"Este exploit descarga un cripto coin miner y luego, en un segundo intento, lo inicia. Estos tres comandos se envían como dos solicitudes de exploit distintas. Hemos visto un total de 3,814 solicitudes ", escribió Johannes B. Ullrich, decano de investigación de SANS.

Nuestra propia investigación muestra que las dos direcciones IP a las que conducen los mineros son servidores compartidos, lo que significa que alojan varios sitios web, que pueden incluir entidades de grupo de minería.

La solicitud falsa en sí misma incluye a Baidu, un popular motor de búsqueda chino, como referencia, lo que sugiere que los ataques provienen de un actor en ese país.

Sin embargo, es importante tener en cuenta que poner URL de Baidu como referencia no prueba definitivamente que los hackers sean chinos.

El año 2017, vimos que los hackers usaban vulnerabilidades en otros sistemas de administración de contenido como Wordpress para extraer criptomonedas. Esta es la primera vez que vemos a Drupal ser golpeado.

Tal vez tomó tanto tiempo porque Drupal tiene solo el 4,6% de la cuota de mercado como sistema de gestión de contenido, mientras que WordPress devora casi el 60% del mercado.

Esto es similar a la explicación detrás de la falta de virus MacOS en comparación con Windows.

Ullrich también señala que estos exploits fueron diseñados para funcionar con Drupal 8, aunque también se ha adaptado para funcionar con la versión 7.

Dado que el exploit fue descubierto el 13 de abril, la mayoría de los sitios web que ejecutan el CMS en este momento aún serían vulnerables hasta que actualicen su software.

Semrush sigue a tu competencia

Fecha actualización el 2018-04-19. Fecha publicación el 2018-04-19. Categoría: cryptomix. Autor: Oscar olg Mapa del sitio Fuente: ryptovest
Cryptojacking en drupal