“Drupalgeddon2” rührt das Wettrüsten an Leistungsstarke Webserver für den Massen-Exploit

EnlargeTorkild Retvedt

Angreifer nutzen eine kürzlich behobene Sicherheitsanfälligkeit in Massen aus das Drupal-Content-Management-System, das es ihnen ermöglicht, zu nehmen vollständige Kontrolle über leistungsstarke Website-Server, Forscher von Mehrere Sicherheitsunternehmen warnen.

Mindestens drei verschiedene Angriffsgruppen nutzen aus “Drupalgeddon2”, der Name, der einer äußerst kritischen Person gegeben wurde Schwachstelle Drupal-Betreuer gepatcht Ende März, Forscher mit Netlab 360 sagte Freitag. Formal indexiert als CVE-2018-7600, Drupalgeddon2 macht es jedem im Internet leicht, etwas mitzunehmen Vollständige Kontrolle über anfällige Server durch einfachen Zugriff auf eine URL und Injizieren von öffentlich verfügbarem Exploit-Code. Exploits erlauben Angreifer können Code ihrer Wahl ausführen, ohne eine Konto jeglicher Art auf einer anfälligen Website. Der Fernbedienungscode Die Sicherheitslücke geht auf eine Drupal-Sicherheitslücke von 2014 zurück, die auch leicht gemacht, verwundbare Server zu befehligen.

Drupalgeddon2 “wird von allen Drupal-Sites angegriffen Hinter unserem Netzwerk wird ständig nach mehreren IPs gesucht Adressen, “Daniel Cid, CTO und Gründer der Sicherheitsfirma Sucuri, erzählte Ars. “Wer nicht gepatcht hat, wird schon dabei gehackt Punkt. Seit der Veröffentlichung des ersten öffentlichen Exploits sehen wir Dieses Wettrüsten zwischen den Kriminellen, wie sie alle versuchen, als zu hacken viele Websites, wie sie können. ”

Das in China ansässige Unternehmen Netlab 360 teilte derweil mit, dass mindestens drei Unternehmen an den Start gingen Angriffsgruppen nutzen die Sicherheitsanfälligkeit aus. Am aktivsten Gruppe, Netlab 360-Forscher sagte in einem Blog-Post am Freitag veröffentlicht, verwendet es, um mehrere schädliche Nutzdaten zu installieren, einschließlich Cryptocurrency Miner und Software zur Durchführung von Distributed Denial-of-Service-Angriffe auf andere Domänen. Die Gruppe, synchronisiert Muhstik verlässt sich nach einem Schlüsselwort, das in seinem Code auftaucht, auf 11 Vermutlich getrennte Steuer- und Kontrolldomänen und IP-Adressen für Redundanz im Falle eines Ausfalls.

Schlag hinzugefügt

Netlab 360 sagte, dass die IP-Adressen, die die bösartigen liefern Nutzlasten sind weit verbreitet und laufen meist über Drupal, ein Indiz von wurmähnlichem Verhalten, das infizierte Websites angreift gefährdete Websites, die noch nicht kompromittiert wurden. Würmer sind zu den mächtigsten Arten von Malware, weil ihre Selbstvermehrung gibt ihnen virale Qualitäten.

Muhstik nutzt die zuvor gepatchten Funktionen und sorgt so für zusätzliche Schlagkraft Sicherheitslücken in anderen Serveranwendungen im Ereignis Administratoren müssen die Fixes noch installieren. Webdav, WebLogic, Webuzo und WordPress sind einige der anderen Anwendungen, die das Gruppe zielt.

Weitere Lektüre

10.000 Linux-Server sind von Malware betroffen, die den Tsunami aus Spam und exploitsMuhstik hat Verbindungen zum Tsunami, einer Art Malware, die es gibt ist seit 2011 aktiv und hat mehr als 10.000 Unix- und Linux-Computer infiziert Server im Jahr 2014. Muhstik hat einen Teil der Infektion übernommen Techniken aus den neuesten Internet-of-Things-Botnetzen. Vermehrung Zu den Methoden gehören das Scannen nach anfälligen Server-Apps und das Testen Server für schwache Secure-Shell- oder SSH-Kennwörter.

Die Massenausbeutung von Drupal-Servern geht auf die zurück Epidemie von nicht gepatchten Windows-Servern vor einem Jahrzehnt, die gab kriminelle Hacker sind an Millionen von PCs beteiligt. Die Angreifer würden Verwenden Sie dann ihre weit verbreiteten Sitzstangen, um neue Eindringlinge auszulösen. Weil Website-Server in der Regel viel mehr Bandbreite haben und Rechenleistung als PCs, der neue Ausschlag von Server-Kompromissen stellt eine potenziell viel größere Bedrohung für das Internet.

Drupal-Betreuer haben die kritische Sicherheitslücke in gepatcht sowohl die 7.x- und 8.x-Versionsfamilien als auch die 6.x-Familie, Welche Betreuer haben die Unterstützung im Jahr 2016 eingestellt? Bis jetzt muss der Patch erst installiert werden, vorausgesetzt die Systeme sind gefährdet und ergreifen sofort Maßnahmen, um sie zu desinfizieren.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: