Botnet IoT explota a gran escala la vulnerabilidad Drupalgeddon 2
Botnet compuesta de servidores y dispositivos inteligentes ha comenzado la explotación de una vulnerabilidad grave de Drupal y está utilizando sistemas ya comprometidos para infectar nuevas máquinas
El botnet está explotando la vulnerabilidad CVE-2018-7600 también conocida como Drupalgeddon 2 para acceder a una URL específica y obtener la capacidad de ejecutar comandos en un servidor que ejecuta Drupal CMS.
Muhstik botnet comienza a atacar los sitios de Drupal
Los investigadores de Qihoo 360 Netlab, junto con expertos de GreyNoise Intelligence, han descubierto el cambio en la actividad de esta botnet de varios otros exploits a la vulnerabilidad Drupalgeddon 2 al comienzo de la semana.
El equipo de Netlab ha comenzado a referirse a este botnet como Muhstik, basado en el término utilizado en muchas de sus cargas útiles.
En el nivel técnico, Netlab dice que Muhstik se basa en Tsunami, una cepa de malware muy antigua que se ha utilizado durante años para crear botnets infectando servidores Linux y dispositivos inteligentes que ejecutan firmware basado en Linux.
Los ladrones han usado inicialmente Tsunami para ataques DDoS, pero su conjunto de características se ha expandido enormemente después de que su código fuente se filtró en línea.
La versión Muhstik de Tsunami, según un informe de Netlab publicado hoy, puede lanzar ataques DDoS, instalar el minero XMRig Monero o instalar el CGMiner para extraer criptomonedas Dash en hosts infectados. Los operadores Muhstik están utilizando estas tres cargas útiles para ganar dinero a través de los hosts infectados.
Sitios infectados de Drupal utilizados para buscar otros servidores vulnerables
Pero además de estas tres cargas útiles, los expertos dicen que inmediatamente después de infectar un sitio de Drupal, el malware también descarga un módulo de escaneo.
Este módulo contacta con un conjunto totalmente diferente de servidores de comando y control que los servidores Muhstik normales, obtiene una lista de direcciones IP y comienza a buscar sistemas vulnerables.
Muhstik escanea estas direcciones IP en puertos predefinidos, intentando identificar nuevos sistemas, pueden ser servidores o dispositivos inteligentes, para infectar:
- 80: Weblogic, Wordpress, Drupal, WebDav, ClipBucket
- 2004: Webuzo
- 7001: Weblogic
- 8080: Wordpress, WebDav, solución DasanNetwork
Una vez que se han identificado nuevas víctimas, el host infectado le informa a uno de los principales servidores de Muhstik C & C sobre posibles hosts nuevos para infectar, mediante el envío de una solicitud a una URL específica.
Este tipo de diseño es muy común con la mayoría de las botnets de IoT actualmente, pero Muhstik parece ser el primero en agregar la vulnerabilidad de Drupalgeddon 2 a su arsenal.
Además de la explotación masiva de la falla Drupalgeddon 2, GreyNoise también informa que esta botnet también ha aumentado su actividad de orientación de sistemas Oracle WebLogic.
Con un jugador tan importante como Muhstik ahora explotando la vulnerabilidad Drupalgeddon, es solo cuestión de tiempo hasta que otros botnets suban a bordo. El cibercrimen es más un juego de imitación que otra cosa.
El equipo de seguridad de Drupal parcheó Drupalgeddon2 el 28 de marzo con el lanzamiento de Drupal 7.58 y Drupal 8.5.1. Los propietarios de los sitios de Drupal deben actualizar estas versiones (o versiones más nuevas) para evitar que los ciberdelincuentes tomen el control de sus sitios y servidores.