“Drupalgeddon2” inicia la carrera armamentista para explotar en masa potentes servidores web

AmpliarTorkild Retvedt

Los atacantes están explotando en masa una vulnerabilidad recientemente corregida en El sistema de gestión de contenido de Drupal que les permite tomar control completo de servidores web potentes, investigadores de Múltiples compañías de seguridad están advirtiendo.

Al menos tres grupos de ataque diferentes están explotando “Drupalgeddon2”, el nombre dado a un extremadamente crítico Vulnerabilidad de los mantenedores de Drupal parcheados a fines de marzo, investigadores con Netlab 360, dijo el viernes. Formalmente indexado como CVE- 2018-7600, Drupalgeddon2 hace que sea fácil para cualquier persona en Internet tomar control completo de servidores vulnerables simplemente accediendo a una URL e inyectando código de explotación disponible públicamente. Los exploits permiten atacantes para ejecutar el código de su elección sin tener que tener un cuenta de cualquier tipo en un sitio web vulnerable. El código remoto la vulnerabilidad se remonta a una vulnerabilidad de Drupal 2014 que también facilitó la captación de servidores vulnerables.

Drupalgeddon2 “está bajo ataque activo, y todos los sitios de Drupal detrás de nuestra red se sondea constantemente desde múltiples IP “Daniel Cid, CTO y fundador de la firma de seguridad Sucuri, le dijo a Ars. “Cualquiera que no haya parcheado ya ha sido pirateado punto. Desde que se lanzó el primer exploit público, estamos viendo esta carrera armamentista entre los delincuentes, ya que todos intentan piratear como tantos sitios como puedan “.

Netlab 360, con sede en China, dijo que al menos tres competían Los grupos de ataque están explotando la vulnerabilidad. El mas activo grupo, los investigadores de Netlab 360 dijeron en una publicación de blog publicada el viernes, lo está utilizando para instalar múltiples cargas maliciosas, incluidas mineros de criptomonedas y software para realizar distribuidos ataques de denegación de servicio en otros dominios. El grupo, apodado Muhstik después de una palabra clave que aparece en su código, se basa en 11 dominios separados de comando y control y direcciones IP, presumiblemente por redundancia en caso de que uno sea eliminado.

Golpe agregado

Netlab 360 dijo que las direcciones IP que entregan el malicioso las cargas útiles están muy dispersas y funcionan principalmente con Drupal, una indicación del comportamiento similar a un gusano que hace que los sitios infectados ataquen sitios vulnerables que aún no han sido comprometidos. Los gusanos son entre los tipos más potentes de malware porque su La autopropagación les da cualidades virales.

Agregando un golpe extra, Muhstik está explotando parches previamente vulnerabilidades en otras aplicaciones de servidor en el evento Los administradores aún no han instalado las correcciones. Webdav, WebLogic, Webuzo y WordPress son algunas de las otras aplicaciones que el grupo está apuntando.

Otras lecturas

10,000 servidores de Linux afectados por malware que sirve de tsunami de spam y Muhstik tiene vínculos con Tsunami, una variedad de malware que tiene estado activo desde 2011 e infectó más de 10,000 Unix y Linux servidores en 2014. Muhstik ha adoptado parte de la infección técnicas vistas en las recientes botnets de Internet de las cosas. Propagación los métodos incluyen escaneo de aplicaciones de servidor vulnerables y sondeo servidores para contraseñas débiles de shell seguro o SSH.

La explotación masiva de servidores Drupal se remonta a la epidemia de servidores Windows sin parche hace una década, que dio piratas informáticos criminales un punto de apoyo en millones de PC. Los atacantes luego use sus perchas ampliamente distribuidas para lanzar nuevas intrusiones. Debido a que los servidores de sitios web generalmente tienen mucho más ancho de banda y potencia informática que las PC, la nueva erupción de servidores compromete poses Una amenaza potencialmente mucho mayor para Internet.

Los mantenedores de Drupal han parcheado la vulnerabilidad crítica en tanto la familia de versiones 7.xy 8.x como la familia 6.x, qué mantenedores dejaron de admitir en 2016. Administradores que aún no he instalado el parche, debería asumir que sus sistemas son comprometido y tomar medidas inmediatas para desinfectarlos.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: