Os ciber criminosos continuam a explorar maliciosamente o CMS Drupal com o objetivo de instalarem malware backdoors e também injetarem trechos de código referentes a cryptocurrency (crypto-jacking). As duas vulnerabilidades foram identificadas como  CVE-2018-7600 e CVE-2018-7602. Website da missão continente é um dos comprometidos.

Os ciber criminosos estam a usar os exploits das vulnerabilidades acima de forma a comprometer as instalações do drupal, principalmente através da mineração de criptomoedas (crypto-jacking).

Estima-se que potencialmente mais de um milhão de websites Drupal estão vulneráveis a ataques que exploram as duas falhas mencionadas, caso os patches de segurança não estejam instalados.

Uma semana após o lançamento da atualização de segurança para a falha CVE-2018-7600, uma prova de conceito (PoC) foi divulgada publicamente.

Investigadores da empresa de segurança Check Point, juntamente com especialistas do Drupal da Dofinity, analisaram o CMS e em especial a vulnerabilidade Drupalgeddon2, e publicaram a posteriori um relatório técnico.

Logo após a publicação do relatório, o especialista Vitalii Rudnykh partilhou uma PoC funcional do Drupalgeddon2 no GitHub para “fins educacionais ou informativos”.

Depois da publicação do exploit, tem-se notado um forte comprometimento de instalções Drupal, o que sugere que a maior parte dos administradores dos sistemas afetados ignoraram completamente o patch de segurança.

“Yesterday, I was alerted to a cryptojacking campaign affecting the websites of the San Diego Zoo and the government of Chihuahua, Mexico.” wrote Mursch.

“While these two sites have no relation to each other, they shared a common denominator — they both are using an outdated and vulnerable version of the Drupal content management system.”

 

O investegador acima descobriu que centenas de websites foram comprometidos com um script Coinhive. O código malicioso estava embebido na biblioteca JavaScript “/misc/jquery.once.js?v=1.2” e, mesmo se as cargas (payloads) fossem diferentes, todos os websites infetados apontavam para o mesmo domínio e utilizavam a mesma token maliciosa do Coinhive.

Mursch publicou uma lista de websites comprometidos que inclui o National Labor Relations Board e a Turkish Revenue Administration.

Pelo menos dois websites portugueses constam na lista de afetados:

  • missao.continente.pt
  • localsoftware.pt

 

image_content_1200336_20171219094005

 

O ficheiro com código malicioso, p.ex., no website da missão continente, é o seguinte:

https://missao.continente.pt/misc/jquery.once.js?v=1.2.

O payload malicioso encontra-se embebido no final da página na altura da publicação desta publicação.

drupal vulnerability - continente

drupal vulnerability - continente

 

Ambas as entidades responsáveis foram informadas da ocorrência mas ainda não foi obtido qualquer comunicado oficial referente ao incidente.

Não há dúvidas que os atacantes continuarão a explorar ambas as falhas do Drupal nas próximas semanas, por isso, é essencial aplicar as atualizações do CMS ASAP.