仅耗时3天,最新Drupal漏洞遭黑客利用攻击

2019-02-28 14:27:123048人阅读

漏洞往往一经发现,很快便会被黑客们乘虚而入,即使采取了修补措施,也难以完全避免这一风险。继WinRAR ACE漏洞被黑客利用攻击后,前些天刚刚披露的Drupal漏洞也同样在劫难逃。
网络犯罪分子已经积极开始利用这一刚得到修补的安全漏洞,他们在Drupal网站上安装了加密货币矿工,这些网站尚未及时安装补丁并且仍然容易受到攻击。

Drupal漏洞上周刚得到修补

上周,流行的开源内容管理系统Drupal的开发人员在Drupal Core中修补了一个关键的远程代码执行(RCE)漏洞(CVE-2019-6340),该漏洞允许攻击者破解受影响的网站。
尽管没有发布安全漏洞的技术细节,但在Drupal安全团队推出其修补版本两天后,该漏洞的概念验证(PoC)漏洞利用代码已在互联网上公开发布。

CVE-2019-6340漏洞是由于对部分域类型的数据处理不当造成的,攻击者利用该漏洞可以执行任意的PHP代码。

Drupal的安全公告称,一些域类型没能适当处理来自非form源的数据,导致在一些情况下产生了任意的PHP代码执行漏洞。

为了利用该漏洞,攻击者需要启用核心的RESTful Web Services模块,并允许PATCH 或POST请求。如果启用了Drupal 8中的JSON:API或Drupal 7中的RESTful Web服务这类web服务模块,也可能触发该漏洞。

Drupal漏洞利用攻击

数据安全供应商Imperva的研究人员发现了一系列攻击,这些攻击是在利用CVE-2019-6340漏洞利用代码公开后一天后开始的。也就是说网络犯罪分子在仅仅在漏洞修补后3天(2月23日)就进行了针对性的攻击,反应速度之快,令人咂舌。

Imperva研究团队分析了此次攻击的流量,发现针对CVE-2019-6340漏洞的数数百次攻击尝试,目标对象包括政府和金融服务行业的网站。这些攻击的攻击者与受害者分布在世界各地。

下图显示了过去几天中观察到的CVE 2019-6340漏洞利用数量:

仅耗时3天,最新Drupal漏洞遭黑客利用攻击


攻击人员试图在易受攻击的Drupal网站上注入一个名为CoinIMP的JavaScript加密货币矿工,以便为攻击者挖掘Monero和Webchain加密货币。

与臭名昭著的CoinHive服务类似,CoinIMP是一个基于浏览器的加密货币挖掘脚本,攻击者将其注入到易受攻击的Drupal网站的index.php文件中。这样一来网站访问者在浏览网站主页时,就会在不知情的情况下运行挖掘脚本并挖掘加密货币。

这不是我们第一次看到针对易受攻击的Drupal网站的攻击者利用最近修补的漏洞。去年,攻击者利用两个独立的关键远程代码执行漏洞(名为Drupalgeddon2和Drupalgeddon3),大规模攻击了Drupal网站。

在那次攻击中,黑客们同样利用了安全研究人员发布的针对Drupalgeddon2和Drupalgeddon3的概念验证(PoC)漏洞利用代码,之后进行大规模的互联网扫描和攻击尝试。

迟到总比没有好,我们强烈建议仍在运行易受攻击的Drupal版本的站点管理员通过尽快将其CMS更新,以避免任何可能的此类攻击:

如果使用的是Drupal 8.6.x,请将网站升级到Drupal 8.6.10;

如果使用的是Drupal 8.5.x或更早版本,请将网站升级到Drupal 8.5.11。


本文转自mottoin,作者Gump,点击查看原文

0
现金券
0
兑换券
立即领取
领取成功