Security
drupal logo

Drupal-lek nog steeds misbruikt

Geïnfecteerde systemen blijken niet voorzien van in april uitgebrachte patch.

© Drupal
25 juni 2018

Geïnfecteerde systemen blijken niet voorzien van in april uitgebrachte patch.

Criminelen buiten nog steeds een drie maanden oude kwetsbaarheid in Drupal uit voor hun eigen gewin, ondanks een in april uitgebrachte patch. Systemen die dit open source CMS gebruiken, worden via het lek stilletjes omgezet in miners van cryptovaluta door een infectie met cryptojacking malware. Deze malware kan het systeem op de achtergrond gebruiken om de cryptovaluta Monero te delven, omdat Drupal-beheerders de patch uit april niet hebben geïnstalleerd.

Het CMS (content management systeem) van Drupal is een veelgebruikte tool om websites mee te bouwen, en de grote groep gebruikers maakt deze kwetsbaarheid tot een unieke kans voor cybercriminelen om snel veel geld te verdienen. De gebruikers van de getroffen systemen merken weinig van de infectie, alleen dat hun systemen langzamer draaien of dat de ventilator harder draait dan tevoren.

Patch

Voor de kwetsbaarheid, genaamd ‘CVE-2018-7602’, kwam na de ontdekking drie maanden geleden al een patch. Nu blijkt dat veel gebruikers deze nog niet hebben geïnstalleerd, melden onderzoekers van securityleverancier Trend Micro.

Volgens de onderzoekers gebruiken de aanvallers in dit specifieke geval interessante technieken. Zo verschuilen ze zich achter het Tor-netwerk om ontdekking te voorkomen. De malware die ze installeren, controleert ook of zich op het geïnfecteerde systeem al een eerdere miner actief is geweest, voordat de payload wordt geïnstalleerd via een reeks shell-scripts en uitvoeringsbestanden.

Honderden aanvalspogingen

Hiernaast gebruiken de aanvallers ook een Virtual Private Network (VPN) om hun sporen te verdoezelen, maar de onderzoekers ontdekten een gekoppeld IP-adres. Volgens hen zijn er de afgelopen periode honderden aanvalspogingen uitgevoerd vanaf dit IP-adres. Niet alle aanvallen vanaf dit IP-adres betreffen aanvallen via de Drupal-kwetsbaarheid: sommigen maakten gebruik van de 'Heartbleed'-fout.

Hoeveel systemen er in totaal zijn geïnfecteerd met behulp van de kwetsbaarheid in Drupal is niet bekend, maar de urgentie om de uitgebrachte patch te installeren is door de ontdekking van de onderzoekers van Trend Micro glashelder.

Lees meer over
1
Reacties
Frank de Groot 26 juni 2018 12:44

Dit is inmiddels oud nieuws en is niet gebaseerd op de juiste data. Het security team van Drupal kwam met het volgende statement: https://groups.drupal.org/node/520149

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.