[Cảnh báo]Hơn 115.000 web Drupal bị tấn công qua lỗ hổng Drupalgeddon2

June 9, 2018

Hàng trăm nghìn trang web đang chạy trên Drupal CMS – bao gồm cả các tổ chức giáo dục và tổ chức chính phủ trên khắp thế giới – đã bị phát hiện hư hại nghiêm trọng do các bản vá bảo mật được phát hành gần hai tháng trước.
Nhà nghiên cứu bảo mật Troy Mursch đã quét toàn bộ mạng Internet và tìm thấy  hơn 115.000 trang web Drupal vẫn bị hư hại với lỗ hổng Drupalgeddon2.

Drupalgeddon2 (CVE-2018-7600) là một lỗ hổng thực thi mã từ xa rất quan trọng được phát hiện vào cuối tháng Ba trong phần mềm Drupal CMS (các phiên bản <7.58 / 8.x <8.3.9 / 8.4.x <8.4.6 / 8.5.x <8.5. 1) có thể cho phép kẻ tấn công hoàn toàn kiểm soát các trang web.
Đối với những người không biết, Drupalgeddon2 cho phép kẻ tấn công từ thực thi mã độc hại trên các bản cài đặt Drupal mặc định hoặc tiêu chuẩn theo đặc quyền của người dùng.
Vì Drupalgeddon2 có nhiều nguy cơ gây sự chú ý của những kẻ tấn công, công ty đã yêu cầu tất cả các quản trị viên trang web cài đặt các bản vá bảo mật ngay sau khi nó được phát hành vào cuối tháng 3 và quyết định không phát hành bất kỳ chi tiết kỹ thuật nào về lỗ hổng ban đầu.
Tuy nhiên, những kẻ tấn công bắt đầu khai thác lỗ hổng này chỉ sau hai tuần sau khi hoàn thành chi tiết và mã khai thác (DRC) của Drupalgeddon2 xuất hiện , tiếp theo là  khai thác Internet quy mô lớn.
Ngay sau đó, chúng tôi thấy nó đã được phát triển khai thác tự động tận dụng lỗ hổng Drupalgeddon 2 để các tiến trình khai thác tiền điện tử , backdoors và các phần mềm độc hại khác vào trang web, chỉ vài giờ sau khi được phát tán.
Nhà nghiên cứu Mursch đã quét Internet và tìm thấy gần 500.000 trang web đang chạy trên Drupal 7, trong đó 115.070 vẫn đang chạy một phiên bản cũ của Drupal dễ bị Drupalgeddon2.
Trong khi phân tích các trang web, Mursch nhận thấy rằng hàng trăm người trong số họ – bao gồm cả bộ phận cảnh sát Bỉ, văn phòng Tổng chưởng lý Colorado, chi nhánh Fiat Magneti Marelli và dịch vụ định vị xe tải thực phẩm – đã được nhắm đến bởi một chiến dịch mã hóa mới.
Mursch cũng tìm thấy một số trang web bị nhiễm trong khi đã nâng cấp trang web của họ lên phiên bản Drupal mới nhất, nhưng phần mềm độc hại cryptojacking vẫn tồn tại.
Chúng tôi đã cảnh báo người dùng kể từ tháng 3 rằng nếu bạn đã bị nhiễm phần mềm độc hại, chỉ cần cập nhật trang web Drupal của bạn sẽ xóa “backdoors hoặc sửa các trang web bị xâm phạm”.
Theo thehackernews.com