Hackers continuam a explorar e a instalar malware no CMS Drupal (Continente é um dos afetados)
Atualmente não há suporte para o Drupal 8.3.xe 8.4.x, mas devido à gravidade da vulnerabilidade, a equipa de segurança do Drupal decidiu lançar duas atualizações de segurança específicas que foram lançadas alguns dias depois.
A vulnerabilidade é demasiado grave para ser ignorada. Um invasor pode executar código arbitrário no componente principal do CMS e assumir com completo o website apenas acedendo a uma URL em específico.
Após a publicação de uma Prova de Conceito (PoC) no GitHub como forma de explorar o Drupalgeddon2, os especialistas começaram a observar uma grande adesão por parte dos hackers e os problemas com websites infetados tem crescido exponencialmente e de forma totalmente descontrolada.
Normalmente são instalados crypto-minners e backdoors nos websites. Um dos mais recentes casos em portugal foi o website da Missão Continente.
De acordo com o investigador Troy Mursch, existem mais de 115.000 sites do Drupal que não instalaram o patch de forma a corrigir a vulnerabilidade do drupalgeddon2.
Os especialistas que varrem a Internet identificarem mais de 500.000 websites que executam a versão 7.x do CMS, dos quais 115.070 ainda executam versões desatualizadas e vulneráveis ao Drupalgeddon. A A investigação não contemplou CMS com versão 6.xe 8.x.
“How many Drupal sites are vulnerable?To find the answer, I began by looking for sites using Drupal 7. This is the most widely used version, per Drupal’s core statistics. Using the source code search engine PublicWWW, I was able to locate nearly 500,000 websites using Drupal 7.” states a report published by Mursch.
“Upon completion of the scan I was able to determine:
- 115,070 sites were outdated and vulnerable.
- 134,447 sites were not vulnerable.
- 225,056 sites I could not ascertain the version used.”
O investigador detetou vários websites vulneráveis através da lista Alexa Top 1 Million. A lista inclui grandes instituições de ensino dos EUA, organizações governamentais em todo o mundo, uma grande rede de televisão, um conglomerado multinacional de media e entretenimento e dois grandes fabricantes de hardware.
Também são encontrados alguns domínios portugueses.
O investigador partilhou a lista de websites vulneráveis com a US-CERT e outras equipes CERT de todo o mundo.
Mursch confirmou que as campanhas de cryptojacking continuam mesmo depois de seu primeiro relatório:
“While scanning for vulnerable sites, I discovered a new cryptojacking campaign targeting Drupal sites. One of the affected sites was a police department’s website in Belgium. This campaign uses the domain name upgraderservices[.]cf to inject Coinhive.” added the expert.
O investigador mantém uma lista atualizada com todas as suas descoberta num documento partilhado na Google drive.
This Belgium police website (https://t.co/IcYCnOLn55) has been compromised and is now part of the Drupal cryptojacking campaign. pic.twitter.com/dJbqshysUg
— Bad Packets Report (@bad_packets) May 31, 2018
This case of #cryptojacking is caused by upgraderservices[.]cf/drupal.js which injects #Coinhive. Site key “ZQXBo9BIgCBhlxCYhc7UAWLJxBfRCVos” is used. pic.twitter.com/a9dxCfbR3s
— Bad Packets Report (@bad_packets) May 31, 2018
Esta vulnerabilidade é atualmente muito perigosa. Mais de 115 mil websites do Drupal 7.x. estão atualmente vulneráveis, e isso poderá ser considerado um “presente” e uma porta de entrada para os hackers.
É essencial preparar um plano de resposta para este tipo de incidentes nas organizações. Se é um dos afetados, atualize urgentemente o seu CMS.