|
Макар и запушена през март, критична уязвимост в Drupal продължава да се експлоатира активно от киберпрестъпници в Мрежата. В края на март хората от Drupal разкриха и запушиха сериозна дупка в популярната CMS система Drupal. Ставаше дума за критична уязвимост, която позволява пълното превземане на интернет ресурса и поради сериозността на проблема беше наречена Drupalgeddon2 (първият Drupalgeddon се появи преди няколко години и стотици ресурси станаха обект на масирани атаки). Скоро след появата на по-подробна информация за проблема (вклюително и публикуван експлойт код) стартираха и опитите за атаки, а междувременно беше идентифициран още един проблем – уязвимост, свързана с Drupalgeddon2 (наречена Drupalgeddon3). Експлойт код за уязвимостта беше включен в ботнет, атаките автоматизирани и за съжаление, много от тях – успешни. Тези дни в Интернет се появи доклад на чешката компания за антивирусна защита Malwarebytes, който обръща внимание на тези атаки, като акцент в него са заплахите, които ресурсът почва да доставя след неговото компрометиране. Съвсем очаквано, най-често става дума за криптоминьор, обикновено включващ код на Coinhive и копаещ Monero – последния хит в киберпрестъпния свят. Специалистите от компанията използват Shodan да сканират интернет спектъра, като от 80 000 ресурса на основата на Drupal, откриват над 900 компрометирани страници. Много от тези ресурси представлявали тестови проекти, които не събирали трафик, но тези, които били реални сайтове били обединени от очаквана обща характеристика – всички те били на основата на стари и вече неподдържани Drupal инсталации. Почти половината от компрометираните ресурси били на основата на Drupal 7.5, а около 30% – на 7.3 – версия, която получава последното си обновление през 2015. 
По-голямата част (над 80%) от тези ресурси доставяли криптокопач посредством drive-by download атаки – т.е. от потребителя не се изисква някакво действие, за да падне браузъра или системата му жертва на тях. Не така стоят нещата с доставяните измами, имитиращи техническа поддръжка – доставяне на фалшиви обновления и сходни опити за измама, при които се прави опит за заблуждаване на потребителя да свали и изпълни зловреден код на системата си. „Компрометираните сайтове, независимо големи или малки си остават привлекателна цел, която престъпниците се опитват да атакуват масово с времето. И тъй като поддръжката и обновяването си остава проблем, броят на потенциалните нови жертви никога не намалява. В светлината на написаното трябва да се каже, че хората, които се грижат за уеб ресурсите е нужно да потърсят други пътища за минимизиране на рисковете, когато налагането на нова версия не може да бъде направено в момента и да проверят това, което други наричат „виртуално пачване“. По-конкретно, уеб апликационните защитни стени са помогнали на мнозина да бъдат защитени от този нов тип атаки и дори в случаите, в които техният CMS е уязвим“, съветва Джером Сегура. |
|
