Os hackers têm atacado alguns servidores Drupal através de algumas vulnerabilidades conhecidas, incluindo as falhas Drupalgeddon2 e DirtyCOW.
Investigadores da Imperva relataram um ataque contra servidores Drupal a rodarem em sistemas Linux. Os hackers exploraram a falha do Drupalgeddon2 (CVE-2018-7600) junto com outras falhas. O Drupalgeddon2 pode ser explorado para assumir um website, e afeta as versões 6, 7 e 8 do Drupal.
A outra falha explorada nos ataques é o DirtyCOW, e que diz respeito a uma condição de corrida na maneira como o subsistema de memória do kernel do Linux manipulao recurso copy-on-write (COW) dos mapeamentos de memória privados somente para leitura. A falha pode ser explorada por um invasor local para escalar privilégios.
No ataque observado pela Imperva, os hackers tentaram invadir os servidores do Drupal através do Drupalgeddon2 e o DirtyCOW, mas também tentavam obter acesso às máquinas destino por meio de configurações incorretas do sistema.
“In this post we’ll unpack a short — but no less serious — attack that affected some Linux-based systems, on October 31. Throughout the campaign, the attacker used a chain of vulnerabilities including the infamous Drupalgeddon2 and DirtyCOW, and system misconfigurations to persistently infect vulnerable Drupal web servers and take over user machines.” reads the analysis published by Imperva.
O novo ataque destaca-se porque, desta vez, os hackers optaram por uma técnica diferente para infectar novamente um servidor vulnerável no caso de o processo de persistência ser detetado e terminado; ou mesmo após o reboot do servidor a infeção deixar de ter efeito. Com este novo processo, os hackers garantem À cabeça que conseguem infetar a vítima novamente.
Se o administrador não deixar as palavras-passe nos ficheiros de configuração do CMS, os hackers tentam explorar a vulnerabilidade DirtyCOW para escalar privilégios para o superuser (root).
“If the attacker succeeds in changing the user, they can proceed to download the secondary payload ‘sshdstuff’ and execute (more details below).” continues the post.
“If the administrator was careful and didn’t leave root passwords in the configuration files, this technique fails, and the attacker tries to exploit the DirtyCOW bug to escalate their privileges to root.”
Os hackers tentaram usar três implementações diferentes do exploit DirtyCOW, em que uma das quais é um formato raw (ficheiro de código-fonte em C) e que estava a ser compilado em tempo de execução.
“Now, as long as the machine is up and running, the attacker can remotely transmit any command as the user root – game over,” Imperva concludes.
“Administrators should make sure that their web application is fully patched as well as the operating system of the host. Alternately, it is possible to use external cybersecurity solution, like a WAF, to block the attack before it reaches the server. Imperva customers are protected out of the box.”