Os hackers têm atacado os servidores Drupal através de algumas vulnerabilidades conhecidas, incluindo as falhas Drupalgeddon2 e DirtyCOW.

Os hackers têm atacado alguns servidores Drupal através de algumas vulnerabilidades conhecidas, incluindo as falhas Drupalgeddon2 e DirtyCOW.

Investigadores da Imperva relataram um ataque contra servidores  Drupal a rodarem em sistemas  Linux. Os hackers exploraram a falha do Drupalgeddon2 (CVE-2018-7600) junto com outras falhas. O Drupalgeddon2 pode ser explorado para assumir um website, e afeta as versões 6, 7 e 8 do Drupal.

A outra falha explorada nos ataques é o DirtyCOW, e que diz respeito a uma condição de corrida na maneira como o subsistema de memória do kernel do Linux manipulao recurso copy-on-write (COW) dos mapeamentos de memória privados somente para leitura. A falha pode ser explorada por um invasor local para escalar privilégios.

No ataque observado pela Imperva, os hackers tentaram invadir os servidores do Drupal através do Drupalgeddon2 e o DirtyCOW, mas também tentavam obter acesso às máquinas destino por meio de configurações incorretas do sistema.

“In this post we’ll unpack a short — but no less serious — attack that affected some Linux-based systems, on October 31. Throughout the campaign, the attacker used a chain of vulnerabilities including the infamous Drupalgeddon2 and DirtyCOW, and system misconfigurations to persistently infect vulnerable Drupal web servers and take over user machines.” reads the analysis published by Imperva.

 

O novo ataque destaca-se porque, desta vez, os hackers optaram por uma técnica diferente para infectar novamente  um servidor vulnerável no caso de o processo de persistência ser detetado e terminado; ou mesmo após o reboot do servidor a infeção deixar de ter efeito. Com este novo processo, os hackers garantem À cabeça que conseguem infetar a vítima novamente.

drupal-servers-attacks

 

Se o administrador não deixar as palavras-passe nos ficheiros de configuração do CMS, os hackers tentam explorar a vulnerabilidade DirtyCOW para escalar privilégios para o superuser (root).

“If the attacker succeeds in changing the user, they can proceed to download the secondary payload ‘sshdstuff’ and execute (more details below).” continues the post.

“If the administrator was careful and didn’t leave root passwords in the configuration files, this technique fails, and the attacker tries to exploit the DirtyCOW bug to escalate their privileges to root.”

 

Os hackers tentaram usar três implementações diferentes do exploit DirtyCOW, em que uma das quais é um formato raw (ficheiro de código-fonte em C) e que estava a ser compilado em tempo de execução.

Uma das implementações mencionadas acima tem uma taxa de detecção zero no VirusTotal, aponta a Imperva, mesmo que o DirtyCOW seja uma falha com dois anos. Isto quer dizer que as assinaturas dos ficheiros maliciosos não são detatados atualmente pelos antivirus.
Assim que os hackers obtêm acesso root e a permissão para instalar novos serviços, eles estalam o SSH, e adicionam a sua chave à lista de chaves autorizadas pelo serviço.

“Now, as long as the machine is up and running, the attacker can remotely transmit any command as the user root – game over,” Imperva concludes.

“Administrators should make sure that their web application is fully patched as well as the operating system of the host. Alternately, it is possible to use external cybersecurity solution, like a WAF, to block the attack before it reaches the server. Imperva customers are protected out of the box.”

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *