Os ciber criminosos estam a usar os exploits das vulnerabilidades acima de forma a comprometer as instalações do drupal, principalmente através da mineração de criptomoedas (crypto-jacking).
Estima-se que potencialmente mais de um milhão de websites Drupal estão vulneráveis a ataques que exploram as duas falhas mencionadas, caso os patches de segurança não estejam instalados.
Uma semana após o lançamento da atualização de segurança para a falha CVE-2018-7600, uma prova de conceito (PoC) foi divulgada publicamente.
Investigadores da empresa de segurança Check Point, juntamente com especialistas do Drupal da Dofinity, analisaram o CMS e em especial a vulnerabilidade Drupalgeddon2, e publicaram a posteriori um relatório técnico.
Logo após a publicação do relatório, o especialista Vitalii Rudnykh partilhou uma PoC funcional do Drupalgeddon2 no GitHub para “fins educacionais ou informativos”.
Depois da publicação do exploit, tem-se notado um forte comprometimento de instalções Drupal, o que sugere que a maior parte dos administradores dos sistemas afetados ignoraram completamente o patch de segurança.
“Yesterday, I was alerted to a cryptojacking campaign affecting the websites of the San Diego Zoo and the government of Chihuahua, Mexico.” wrote Mursch.
“While these two sites have no relation to each other, they shared a common denominator — they both are using an outdated and vulnerable version of the Drupal content management system.”
#Coinhive found on the website of the San Diego Zoo (@sandiegozoo) in the latest high-profile case of #cryptojacking. pic.twitter.com/B3rd2Q5uVA
— Bad Packets Report (@bad_packets) May 4, 2018
Similar story here — #Coinhive injected via the same #JavaScript library (jquery.once.js?v=1.2) pointing to http://vuuwd[.]com/t.js
Also an outdated #Drupal installation. pic.twitter.com/fXv2sBsIVB
— Bad Packets Report (@bad_packets) May 5, 2018
O investegador acima descobriu que centenas de websites foram comprometidos com um script Coinhive. O código malicioso estava embebido na biblioteca JavaScript “/misc/jquery.once.js?v=1.2” e, mesmo se as cargas (payloads) fossem diferentes, todos os websites infetados apontavam para o mesmo domínio e utilizavam a mesma token maliciosa do Coinhive.
Mursch publicou uma lista de websites comprometidos que inclui o National Labor Relations Board e a Turkish Revenue Administration.
Pelo menos dois websites portugueses constam na lista de afetados:
- missao.continente.pt
- localsoftware.pt
O ficheiro com código malicioso, p.ex., no website da missão continente, é o seguinte:
https://missao.continente.pt/misc/jquery.once.js?v=1.2.
O payload malicioso encontra-se embebido no final da página na altura da publicação desta publicação.
Ambas as entidades responsáveis foram informadas da ocorrência mas ainda não foi obtido qualquer comunicado oficial referente ao incidente.
Não há dúvidas que os atacantes continuarão a explorar ambas as falhas do Drupal nas próximas semanas, por isso, é essencial aplicar as atualizações do CMS ASAP.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.