Détails de la vulnérabilité
Une faille de sécurité critique dans le code de Drupal a été découverte le 28 mars passé par une équipe de l’entreprise. Cette faille permet de prendre le contrôle complet des sites vulnérables sans aucune élévation administrateur par une injection de code à distance. Une mise à jour de sécurité a vu le jour très peu de temps après permettant d’éviter les infections.
Ce 12 avril, Les détails de cette vulnérabilité (CVE-2018-7600), appelée Drupalgeddon2, ont été révélés par une équipe de chercheurs de chez Check Point et Dofinity.
Le lendemain, un code pour exploiter Drupalgeddon2 voyait déjà le jour. Et des tentatives de piratage à grande échelle s’en sont suivi. Le SANS indique quelques types d’attaque dont une backdoor PHP (permet d’installer des fichiers sur les serveurs visés), des Bots IRC codés en Perl et des installation de mineurs de cryptomonnaie (le mineur XMRig Monero toujours selon SANS).
En plus du mineur, les scripts malveillants veillent également à supprimer tous les mineurs concurrents du système ciblé. Le groupe Volexity a identifié certains des portefeuilles des pirates pour un montant en cryptomonnaie de 544,74 XMR (pièce Monero), ce qui équivaut à près de 105 567 $.
Se protéger
Drupal a averti que les sites non patchés avant le 11 avril risquaient d’être compromis. La simple mise à jour de Drupal ne supprime pas les failles déjà ouvertes pour les sites compromis mais protège des tentatives d’intrusion futures. « Si vous trouvez votre site déjà patché, alors que vous ne l’avez pas appliqué vous-même, cela peut être un symptôme que le site a été compromis ».
Imperva nous offre quelques statistiques intéressantes sur les différentes attaques : 90% des attaques sont de simples scan IP pour trouver les systèmes vulnérables alors que seulement 2% sont des tentatives d’installation de mineur et 3% tentent d’ouvrir des backdoor.
Sources
