La falla CVE-2018-7602 es un problema de ejecución de código remoto altamente crítico, también conocido como Drupalgeddon3, que fue abordado por el equipo de Drupal en
abril con el lanzamiento de las versiones 7.59, 8.4.8 y 8.5.3.
El parche de seguridad para la falla solo funciona si la corrección para la vulnerabilidad original de Drupalgeddon2 ( CVE-2018-7600 ) se ha instalado en la instalación.
En mayo, los expertos en seguridad de Malwarebytes informaron que los ladrones estaban explotando tanto Drupalgeddon2 como Drupalgeddon3 para entregar mineros de criptomonedas , herramientas de administración remota (RAT) y estafas de soporte técnico.
Ahora, los expertos de Trend Micro informaron sobre ataques de red que explotan la falla CVE-2018-7602 para Monero-mining. Crooks utilizó un exploit para buscar un script de shell que recupera un programa de descarga ejecutable basado en formato (ELF).
El código malicioso agrega una entrada crontab para actualizarse automáticamente y descargar y ejecutar una variante modificada de la fuente abierta XMRig (versión 2.6.3) Monero miner.
«Pudimos observar una serie de ataques de red que explotaban CVE-2018-7602 , un defecto de seguridad en el marco de gestión de contenido de Drupal. Por ahora, estos ataques apuntan a convertir los sistemas afectados en bots de minero de Monero «, se lee en el análisis publicado por TrendMicro.
«Si bien estos ataques actualmente ofrecen malware que roba recursos y reduce el rendimiento del sistema, la vulnerabilidad puede usarse como puerta de entrada a otras amenazas».
Los atacantes solían ocultar su actividad detrás de la red Tor, los expertos lo rastrearon hasta 197 [.] 231 [.] 221 [.] 211, una dirección que pertenece a un rango de IP asociadas con un proveedor de red privada virtual (VPN).
El programa de descarga verifica la máquina de destino para determinar si podría verse comprometida con los exploits de Drupal.
Una vez ejecutado, el minero cambiará su nombre de proceso a [^ $ I $ ^] y accederá al archivo /tmp/dvir.pid.
«Esta es una señal de alerta que los administradores o los profesionales de seguridad de la información pueden tener en cuenta para discernir actividades maliciosas, como cuando se implementan sistemas de detección y prevención de intrusiones basados en host o se realizan análisis forenses», continúa el informe.
Los actores detrás de este ataque se esconden detrás de la red Tor, pero Trend Micro dice que pudieron rastrear la actividad a 197 [.] 231 [.] 221 [.] 211, una IP perteneciente a un proveedor de red privada virtual (VPN).
Trend Micro confirmó que sus expertos bloquearon 810 ataques provenientes de esta dirección IP, en el momento en que no hay evidencia de que todos los ataques estuvieran relacionados con la carga útil de Monero-mining.
«La mayor parte de los ataques de esta dirección IP explotan Heartbleed (CVE-2014-0160). Los otros ataques que observamos explotaron ShellShock (CVE-2014-6271), una vulnerabilidad de divulgación de información en WEB GoAhead ( CVE-2017-5674 ) y un error de pérdida de memoria en Apache ( CVE-2004-0113 ) «, afirma Trend Micro.
«Trend Micro también bloqueó los inicios de sesión de fuerza bruta del Protocolo de transferencia de archivos (FTP) y Secure Shell (SSH) desde esta dirección IP».
Los administradores de Drupal instan a instalar los parches disponibles lo antes posible para evitar ser pirateados.
Fuente: Securittyafairs
Danos tu reacción
0
0
0
0
0
