После публикации РоС-эксплоита на GitHub начались атаки на уязвимые сайты.
Как ранее сообщал SecurityLab, на прошлой неделе на портале GitHub был опубликован РоС-эксплоит для критической уязвимости в Drupal, затрагивающей все версии системы управления контентом за последние десять лет. Уязвимость (CVE-2018-7600), получившая название Drupalgeddon 2, позволяет удаленно выполнить код и получить контроль над системой.
По данным нескольких источников, с 12 апреля текущего года злоумышленники активно эксплуатируют Drupalgeddon 2 для установки на уязвимые серверы бэкдоров и майнеров криптовалюты. Сканирование в поисках уязвимых сайтов началось спустя несколько часов после публикации РоС-эксплоита.
Как сообщил старший технический директор Sucuri Дэниэл Сид (Daniel Cid) порталу Bleeping Computer, некоторое время детектируемые его компанией атаки преимущественно являлись тестовыми и осуществлялись с целью проверки работоспособности РоС-эксплоита. Тем не менее, на прошлых выходных все изменилось, и злоумышленники стали использовать РоС-эксплоит для заражения уязвимых сайтов вредоносным ПО.
По данным Volexity, киберпреступники устанавливают на уязвимых сайтах ПО для майнинга криптовалюты. Как сообщили исследователи GreyNoise, РоС-эксплоит также используется для распространения PHP-бэкдора. Согласно последним сообщениям SANS ISC, хакеры заражают сайты майнерами, бэкдорами и даже ботами на Perl.
Судя по всему, в первые дни после публикации эксплоита хакеры только тестировали его возможности, а затем приступили к реальным операциям. Тем не менее, число атак по-прежнему сравнительно невелико, хотя и постепенно растет.
Согласно данным Imperva, 90% попыток эксплуатации Drupalgeddon 2 являются просто безуспешными сканами. Только 3% - это попытки установить бэкдор и 2% - попытки установить майнер криптовалюты.
Как сообщает Qihoo 360 Netlab, уязвимость стали активно эксплуатировать три ботнета Tsunami. Использование эксплоита ботнетами указывает на то, что его взяли на вооружение организованные киберпреступные группировки, которые не станут ограничиваться лишь тестированием.
Ладно, не доказали. Но мы работаем над этим