Overslaan en naar de inhoud gaan

Drupal-lek nog steeds misbruikt

Criminelen buiten nog steeds een drie maanden oude kwetsbaarheid in Drupal uit voor hun eigen gewin, ondanks een in april uitgebrachte patch. Systemen die dit open source CMS gebruiken, worden via het lek stilletjes omgezet in miners van cryptovaluta door een infectie met cryptojacking malware. Deze malware kan het systeem op de achtergrond gebruiken om de cryptovaluta Monero te delven, omdat Drupal-beheerders de patch uit april niet hebben geïnstalleerd.
Drupal icon
© Drupal
Drupal

Het CMS (content management systeem) van Drupal is een veelgebruikte tool om websites mee te bouwen, en de grote groep gebruikers maakt deze kwetsbaarheid tot een unieke kans voor cybercriminelen om snel veel geld te verdienen. De gebruikers van de getroffen systemen merken weinig van de infectie, alleen dat hun systemen langzamer draaien of dat de ventilator harder draait dan tevoren.

Patch

Voor de kwetsbaarheid, genaamd ‘CVE-2018-7602’, kwam na de ontdekking drie maanden geleden al een patch. Nu blijkt dat veel gebruikers deze nog niet hebben geïnstalleerd, melden onderzoekers van securityleverancier Trend Micro.

Volgens de onderzoekers gebruiken de aanvallers in dit specifieke geval interessante technieken. Zo verschuilen ze zich achter het Tor-netwerk om ontdekking te voorkomen. De malware die ze installeren, controleert ook of zich op het geïnfecteerde systeem al een eerdere miner actief is geweest, voordat de payload wordt geïnstalleerd via een reeks shell-scripts en uitvoeringsbestanden.

Honderden aanvalspogingen

Hiernaast gebruiken de aanvallers ook een Virtual Private Network (VPN) om hun sporen te verdoezelen, maar de onderzoekers ontdekten een gekoppeld IP-adres. Volgens hen zijn er de afgelopen periode honderden aanvalspogingen uitgevoerd vanaf dit IP-adres. Niet alle aanvallen vanaf dit IP-adres betreffen aanvallen via de Drupal-kwetsbaarheid: sommigen maakten gebruik van de 'Heartbleed'-fout.

Hoeveel systemen er in totaal zijn geïnfecteerd met behulp van de kwetsbaarheid in Drupal is niet bekend, maar de urgentie om de uitgebrachte patch te installeren is door de ontdekking van de onderzoekers van Trend Micro glashelder.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in