Hackers continuam a explorar e a instalar malware no CMS Drupal (Continente é um dos afetados)
Atualmente não há suporte para o Drupal 8.3.xe 8.4.x, mas devido à gravidade da vulnerabilidade, a equipa de segurança do Drupal decidiu lançar duas atualizações de segurança específicas que foram lançadas alguns dias depois.
A vulnerabilidade é demasiado grave para ser ignorada. Um invasor pode executar código arbitrário no componente principal do CMS e assumir com completo o website apenas acedendo a uma URL em específico.
Após a publicação de uma Prova de Conceito (PoC) no GitHub como forma de explorar o Drupalgeddon2, os especialistas começaram a observar uma grande adesão por parte dos hackers e os problemas com websites infetados tem crescido exponencialmente e de forma totalmente descontrolada.
Normalmente são instalados crypto-minners e backdoors nos websites. Um dos mais recentes casos em portugal foi o website da Missão Continente.
De acordo com o investigador Troy Mursch, existem mais de 115.000 sites do Drupal que não instalaram o patch de forma a corrigir a vulnerabilidade do drupalgeddon2.
Os especialistas que varrem a Internet identificarem mais de 500.000 websites que executam a versão 7.x do CMS, dos quais 115.070 ainda executam versões desatualizadas e vulneráveis ao Drupalgeddon. A A investigação não contemplou CMS com versão 6.xe 8.x.
“How many Drupal sites are vulnerable?To find the answer, I began by looking for sites using Drupal 7. This is the most widely used version, per Drupal’s core statistics. Using the source code search engine PublicWWW, I was able to locate nearly 500,000 websites using Drupal 7.” states a report published by Mursch.
“Upon completion of the scan I was able to determine:
- 115,070 sites were outdated and vulnerable.
- 134,447 sites were not vulnerable.
- 225,056 sites I could not ascertain the version used.”
O investigador detetou vários websites vulneráveis através da lista Alexa Top 1 Million. A lista inclui grandes instituições de ensino dos EUA, organizações governamentais em todo o mundo, uma grande rede de televisão, um conglomerado multinacional de media e entretenimento e dois grandes fabricantes de hardware.
Também são encontrados alguns domínios portugueses.
O investigador partilhou a lista de websites vulneráveis com a US-CERT e outras equipes CERT de todo o mundo.
Mursch confirmou que as campanhas de cryptojacking continuam mesmo depois de seu primeiro relatório:
“While scanning for vulnerable sites, I discovered a new cryptojacking campaign targeting Drupal sites. One of the affected sites was a police department’s website in Belgium. This campaign uses the domain name upgraderservices[.]cf to inject Coinhive.” added the expert.
O investigador mantém uma lista atualizada com todas as suas descoberta num documento partilhado na Google drive.
This Belgium police website (https://t.co/IcYCnOLn55) has been compromised and is now part of the Drupal cryptojacking campaign. pic.twitter.com/dJbqshysUg
— Bad Packets Report (@bad_packets) May 31, 2018
This case of #cryptojacking is caused by upgraderservices[.]cf/drupal.js which injects #Coinhive. Site key “ZQXBo9BIgCBhlxCYhc7UAWLJxBfRCVos” is used. pic.twitter.com/a9dxCfbR3s
— Bad Packets Report (@bad_packets) May 31, 2018
Esta vulnerabilidade é atualmente muito perigosa. Mais de 115 mil websites do Drupal 7.x. estão atualmente vulneráveis, e isso poderá ser considerado um “presente” e uma porta de entrada para os hackers.
É essencial preparar um plano de resposta para este tipo de incidentes nas organizações. Se é um dos afetados, atualize urgentemente o seu CMS.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.