Hacker đang tích cực khai thác lỗ hổng Drupal RCE mới được công bố

Hacker đang tích cực khai thác lỗ hổng Drupal RCE mới được công bố

February 27, 2019 | vietsunshine

Tội phạm mạng đang tích cực khai thác lỗ hổng bảo mật để cài đặt các công cụ khai thác tiền điện tử trên các trang web Drupal chưa áp dụng các bản vá.

Tuần trước, các nhà phát triển của hệ thống quản lý nội dung nguồn mở phổ biến Drupal đã vá lỗ hổng thực thi mã từ xa (RCE) quan trọng (CVE-2019-6340) trong Drupal Core có thể cho phép kẻ tấn công hack các trang web bị ảnh hưởng.

Mặc dù không tiết lộ chi tiết kỹ thuật về lỗ hổng bảo mật, mã khai thác bằng chứng khái niệm (PoC) cho lỗ hổng này đã được cung cấp công khai trên Internet chỉ hai ngày sau khi nhóm bảo mật Drupal tung ra phiên bản vá của phần mềm.

Giờ đây, các nhà nghiên cứu bảo mật tại nhà cung cấp bảo mật trung tâm dữ liệu Imperva đã phát hiện ra một loạt các cuộc tấn công, bắt đầu chỉ một ngày sau khi mã khai thác công khai chống lại khách hàng của mình với việc lợi dụng các trang web chưa được vá.

Các cuộc tấn công bắt nguồn từ một số kẻ tấn công và các quốc gia đã tìm thấy nhắm mục tiêu vào các trang web Drupal chưa được vá, bao gồm các trang web trong chính phủ và ngành dịch vụ tài chính.

Theo các nhà nghiên cứu, các cuộc tấn công bắt đầu vào ngày 23 tháng 2, chỉ ba ngày sau khi các nhà phát triển Drupal vá lỗ hổng. Hacker cố gắng tiêm một công cụ khai thác tiền điện tử JavaScript có tên CoinIMP trên các trang web Drupal dễ bị tấn công để khai thác tiền điện tử Monero và Webchain.

Tương tự như dịch vụ CoinHive khét tiếng, CoinIMP là một tập lệnh khai thác tiền điện tử dựa trên trình duyệt, kẻ tấn công đã chèn vào tệp index.php của các trang web Drupal dễ bị tổn thương để khách truy cập trang web sẽ chạy tập lệnh khai thác và khai thác tiền điện tử khi họ duyệt trang chính của trang.

Đây không phải là lần đầu tiên những  lỗ hổng của Drupal bị khai thác. Năm ngoái, những kẻ tấn công đã nhắm mục tiêu hàng trăm ngàn trang web Drupal trong các cuộc tấn công hàng loạt sử dụng khai thác hai lỗ hổng thực thi mã từ xa quan trọng riêng biệt, được đặt tên là Drupalgeddon2Drupalgeddon3.

Trong trường hợp đó cũng vậy, các cuộc tấn công bắt đầu sau khi các nhà nghiên cứu bảo mật phát hành mã khai thác PoC cho các lỗ hổng Drupalgeddon2 và Drupalgeddon3 trên Internet, sau đó là các nỗ lực khai thác và quét Internet quy mô lớn.

Trong khi thông báo cho bạn về phiên bản Drupal mới nhất tuần trước đã giải quyết lỗ hổng thực thi mã từ xa quan trọng này, The Hacker News cũng cảnh báo độc giả về việc khai thác Drupal phổ biến như thế nào giữa các tin tặc và bạn cần cập nhật CMS càng sớm càng tốt.

Vì muộn còn hơn không bao giờ, các quản trị viên trang vẫn chạy các phiên bản dễ bị tổn thương của Drupal được khuyến nghị để vá lỗ hổng bằng cách cập nhật CMS của họ lên Drupal 8.6.10 hoặc Drupal 8.5.11 càng sớm càng tốt để tránh bị khai thác.

Tuy nhiên, nếu trang web của bạn đã bị xâm nhập, chỉ cập nhật trang web Drupal của bạn sẽ không xóa “mã dự phòng hoặc mã độc.” Để giải quyết hoàn toàn vấn đề, bạn nên làm theo hướng dẫn của Drupal.

Nguồn: Thehackernews

Tags: , ,