Специалисты компании Akamai Technologies выяснили, что злоумышленники все еще пользуются уязвимостью Drupalgeddon2, пропатченной полтора года назад. Исследователи обнаружили следы атак в журналах сканеров безопасности, а также провели анализ полезной нагрузки, найденной на одном из скомпрометированных сайтов.
По мнению экспертов, текущая кампания относительно скромная: она нацелена на отдельные сайты с большим трафиком и не имеет отраслевой направленности.
В руки ИБ-специалистов попали два объекта, найденных на бразильском веб-ресурсе. Обфусцированный вредоносный код размещен в GIF-файле, а незашифрованный Perl-сценарий для коммуникаций с C&C-сервером — в текстовом документе.
Сценарий новых атак через Drupalgeddon2
Перед запуском скриптов злоумышленники ищут и удаляют предыдущие варианты полезной нагрузки, а также изменяют ключевые настройки сайта. Файл index.inc.gif содержит PHP-код, зашифрованный при помощи алгоритмов base64, rot13 и архиватора gzip. Вредоносный сценарий пытается выполнить следующие команды:
запуск собственной веб-оболочки;
распаковка и удаленный запуск скриптов;
поиск учетных данных на диске и отправка их злоумышленникам;
замена файла конфигурации .htaccess;
вывод системной информации и конфигурации SQL-базы;
переименование файлов на целевой машине.
Вторая часть полезной нагрузки находится в текстовом файле — это набор команд для подключения к IRC-чату, через который идет связь скомпрометированного ресурса с центром управления. Скрипт позволяет собирать информацию об уязвимой системе, использовать ее для DDoS-атак и перехватывать управление сайтом. По мнению специалистов, злоумышленники использовали готовый код, доступный в даркнете, изменив часть сценария для своих целей.
Разработчики Drupal исправили уязвимость Drupalgeddon2 в марте 2018 года. Баг позволяет неавторизованному злоумышленнику удаленно выполнить код на сайте, работающем под управлением CMS версий с 3.3 по 8.5. Проблема зарегистрирована как CVE-2018-7600 и получила критический уровень угрозы по шкале CVSS.
Источник: https://threatpost.ru/drupalgeddon2-is-still-being-used-oct-2019/34405/