Хакеры активно эксплуатируют недавно исправленные уязвимости в Drupal

Хакеры активно эксплуатируют недавно исправленные уязвимости в Drupal

Уязвимости CVE-2018-7600 и CVE-2018-7602 затрагивают свыше 1 млн сайтов, работающих на базе Drupal.

После публикации подробностей о двух серьезных уязвимостях в Drupal киберпреступники стали активно эксплуатировать их для заражения серверов вредоносным ПО и незаконного майнинга криптовалюты.

Речь идет об уязвимостях CVE-2018-7600 и CVE-2018-7602 , затрагивающих свыше 1 млн сайтов на базе системы управления контентом Drupal. Все они находятся под угрозой хакерских атак до тех пор, пока не получат обновления безопасности. Многие вебмастеры уже установили патчи, однако множество сайтов по-прежнему остаются уязвимыми и быстро становятся жертвами бэкдоров и криптовалютных майнеров.

С течением времени все больше хакеров берут на вооружение CVE-2018-7600 и CVE-2018-7602, и число вредоносных кампаний с их эксплуатацией увеличивается. К примеру, на прошлой неделе были зафиксированы две новые вредоносные кампании. Первую из них обнаружил американский исследователь безопасности Трой Марш (Troy Mursch). Через уязвимости в Drupal хакеры получают доступ к сайтам и внедряют на каждый из них майнер криптовалюты Coinhive, спрятанный в файле jquery.once.js?v=1.2.

Изначально Марш отследил файлы на 100 тыс. доменов, затем сузил до 80 тыс. и в итоге подтвердил наличие инфекции на 348 сайтах, майнящих криптовалюту в браузерах пользователей. Среди них есть множество правительственных и университетских порталов, в том числе сайты Национального совета по трудовым отношениям США, Налогового управления Турции, Университета Алеппо и пр.

Эксперты компании Imperva зафиксировали другую вредоносную операцию с использованием уязвимостей в Drupal. Исследователи назвали ее Kitty, поскольку злоумышленники прятали ПО для добычи криптовалюты в файле me0w.js. В отличие от обнаруженной Маршем кампании киберпреступники использовали не майнер Coinhive, а схожее ПО от легитимного пула для майнинга Monero – webminerpool.com. Используемые в ходе операции адреса также использовались в начале апреля в других атаках на сайты с движком vBulletin 4.2.x.

Наряду с ПО для майнинга в браузере злоумышленники также устанавливают на скомпрометированные сайты PHP-бэкдоры с целью иметь доступ к ним даже после установки обновлений безопасности, а также классические майнеры, использующие для майнинга Monero ресурсы серверов.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.