Los hackers no han perdido su tiempo al decidir qué hacer con el código de prueba de concepto PoC para una gran falla de seguridad de Drupal
Según múltiples fuentes, los atacantes han estado infectando constantemente a los servidores con scripts de puerta trasera y malware de minería de datos criptográficos (coinminers) desde el pasado jueves 12 de abril.
Fue entonces cuando un investigador de seguridad ruso publicó un código de prueba de concepto para la vulnerabilidad Drupalgeddon 2 (CVE-2018-7600) que afecta a todas las versiones de Drupal CMS lanzadas en la última década.
Los escaneos para sitios vulnerables comenzaron pocas horas después de la publicación de PoC.
Las cosas cambiaron durante el fin de semana. Ahora, varias fuentes en la industria de la seguridad de la información informan que los atacantes están lanzando cargas maliciosas en sitios vulnerables.
Por ejemplo, Volexity informó el lunes que vio piratas informáticos usando el código público PoC para dejar caer a coinminadores, GreyNoise informó haber visto una puerta trasera PHP, mientras que hoy, el SANS ISC informó que vio atacantes lanzar coinminers, PHP backdoors e incluso bots Perl.
La idea general es que los atacantes probaron el PoC durante los primeros días, y ahora están perfeccionando las cargas útiles antes de poner en marcha las operaciones más grandes. En general, el número de intentos de explotación es todavía pequeño, en comparación con otras campañas de malware en curso, pero las cifras están aumentando.
Según las estadísticas recopiladas por Imperva, el 90 por ciento de los intentos de explotar la vulnerabilidad Drupalgeddon 2 son exploraciones fallidas, mientras que solo el tres por ciento son intentos de dejar puertas traseras, y solo el dos por ciento son intentos de eliminar un coinminer.
Las redes de bots de IoT involucradas en las exploraciones de Drupalgeddon 2 significan que los grupos de amenazas graves ahora han puesto su mira en esta vulnerabilidad y estos atacantes tienen más probabilidades de saber lo que están haciendo en lugar de simplemente probar un PoC.
La explotación también se hizo mucho más fácil después de la publicación de un segundo PoC el lunes, mientras que algunas bases de datos de exploits agregaron variaciones en las primeras variaciones de PoC que ya están armadas y listas para su despliegue sin trabajo adicional del lado del atacante.
Por el momento, incluso si los autores de Drupal CMS han dicho que "los sitios que no están parcheados para el miércoles 2018-04-11 pueden verse comprometidos", se recomienda a los usuarios que actualicen los sitios de Drupal a las versiones 7.58 y 8.5.1, que contienen correcciones para Drupalgeddon 2.
Fecha actualización el 2021-04-18. Fecha publicación el 2018-04-18. Categoría: servidores. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer