Explotan la vulnerabilidad CVE-2018-7602 de Drupal, también conocida como Drupalgeddon3 para entregar mineros de Monero
Una vulnerabilidad CVE-2018-7602 es un problema de ejecución de código remoto altamente crítico, también conocido como Drupalgeddon3, que fue abordado por el equipo de Drupal en abril con el lanzamiento de las versiones 7.59, 8.4.8 y 8.5.3.
El parche de seguridad para el fallo solo funciona si la corrección para la vulnerabilidad original de Drupalgeddon2 (CVE-2018-7600) se ha instalado en la instalación.
En mayo, los expertos en seguridad de Malwarebytes informaron que actores maliciosos estaban explotando tanto Drupalgeddon2 como Drupalgeddon3 para entregar mineros de criptomonedas, herramientas de administración remota (RAT) y estafas de soporte técnico.
Ahora, los expertos de Trend Micro informaron sobre ataques de red que explotan la vulnerabilidad CVE-2018-7602 para minar Monero. Crooks utilizó un exploit para buscar un script de shell que recupera un programa de descarga ejecutable basado en formato (ELF).
El código malicioso agrega una entrada crontab para actualizarse automáticamente y descargar y ejecutar una variante modificada de la fuente abierta XMRig (versión 2.6.3).
"Pudimos observar una serie de ataques de red que explotaban CVE-2018-7602, un fallo de seguridad en el marco de gestión de contenido de Drupal. Por ahora, estos ataques apuntan a convertir los sistemas afectados en bots de mineria de Monero", se lee en el análisis publicado por TrendMicro.
"Si bien estos ataques actualmente ofrecen malware que roba recursos y reduce el rendimiento del sistema, la vulnerabilidad puede usarse como puerta de entrada a otras amenazas".
El programa de descarga verifica la máquina de destino para determinar si podría verse comprometida con los exploits de Drupal.
Una vez ejecutado, el minero cambiará su nombre de proceso a [$I$] y accederá al archivo /tmp/dvir.pid
.
"Esta es una señal de alerta para que los administradores o los profesionales de seguridad de la información pueden tener en cuenta para discernir actividades maliciosas, como cuando se implementan sistemas de detección y prevención de intrusiones basados en host o se realizan análisis forenses", continúa el informe.
Los atacantes detrás de este ataque se esconden detrás de la red Tor, pero Trend Micro dice que pudieron rastrear la actividad a 197[.]231[.]221[.]211, una IP perteneciente a un proveedor de red privada virtual (VPN).
Trend Micro confirmó que sus expertos bloquearon 810 ataques provenientes de esta dirección IP, en el momento en que no hay evidencia de que todos los ataques estuvieran relacionados con la carga útil de Monero-mining.
"La mayor parte de los ataques de esta dirección IP explotan Heartbleed (CVE-2014-0160). Los otros ataques que observamos explotaron ShellShock (CVE-2014-6271), una vulnerabilidad de divulgación de información en WEB GoAhead (CVE-2017-5674) y un error de pérdida de memoria en Apache (CVE-2004-0113)", afirma Trend Micro.
"Trend Micro también bloqueó los inicios de sesión de fuerza bruta del Protocolo de transferencia de archivos (FTP) y del Secure Shell (SSH) desde esta dirección IP."
Los administradores de Drupal instan a instalar los parches disponibles lo antes posible para evitar ser pirateados.