Tuần trước, các nhà phát triển của hệ thống quản lý nội dung nguồn mở phổ biến Drupal đã vá lỗ hổng thực thi mã từ xa (RCE) quan trọng (CVE-2019-6340) trong Drupal Core có thể cho phép kẻ tấn công hack các trang web bị ảnh hưởng.
Mặc dù không tiết lộ chi tiết kỹ thuật về lỗ hổng bảo mật, mã khai thác bằng chứng khái niệm (PoC) cho lỗ hổng này đã được cung cấp công khai trên Internet chỉ hai ngày sau khi nhóm bảo mật Drupal tung ra phiên bản vá của phần mềm.
Giờ đây, các nhà nghiên cứu bảo mật tại nhà cung cấp bảo mật trung tâm dữ liệu Imperva đã phát hiện ra một loạt các cuộc tấn công, bắt đầu chỉ một ngày sau khi mã khai thác công khai chống lại các trang web của khách hàng bằng cách sử dụng một khai thác tận dụng lỗ hổng bảo mật CVE-2019-6340 .
Các cuộc tấn công bắt nguồn từ một số kẻ tấn công và các quốc gia đã tìm thấy nhắm mục tiêu vào các trang web Drupal dễ bị tổn thương, bao gồm các trang web trong chính phủ và ngành dịch vụ tài chính, vẫn dễ bị tổn thương trước lỗ hổng Drupal Core được vá gần đây.
Theo các nhà nghiên cứu, các cuộc tấn công bắt đầu vào ngày 23 tháng 2, chỉ ba ngày sau khi các nhà phát triển Drupal vá lỗ hổng và cố gắng tiêm một công cụ khai thác tiền điện tử JavaScript có tên CoinIMP trên các trang web Drupal dễ bị tấn công để khai thác tiền điện tử Monero và Webchain cho kẻ tấn công.
Tương tự như dịch vụ CoinHive khét tiếng, CoinIMP là tập lệnh khai thác tiền điện tử dựa trên trình duyệt, kẻ tấn công đã chèn vào tệp index.php của các trang web Drupal dễ bị tổn thương để khách truy cập trang web sẽ chạy tập lệnh khai thác và khai thác tiền điện tử khi họ duyệt trang chính của trang.
Đây không phải là lần đầu tiên khi chúng tôi thấy những kẻ tấn công nhắm vào các trang web Drupal dễ bị tổn thương khai thác lỗ hổng được vá gần đây.
Năm ngoái, những kẻ tấn công đã nhắm mục tiêu hàng trăm ngàn trang web Drupal trong các cuộc tấn công hàng loạt sử dụng trong các khai thác hoang dã tận dụng hai lỗ hổng thực thi mã từ xa quan trọng riêng biệt, được đặt tên là Drupalgeddon2 và Drupalgeddon3 .
Trong trường hợp đó là tốt, các cuộc tấn công bắt đầu sau khi các nhà nghiên cứu bảo mật phát hành PoC khai thác mã cho Drupalgeddon2 lỗ hổng và Drupalgeddon3 trên Internet, mà sau đó được tiếp nối bởi quét Internet và khai thác quy mô lớn nỗ lực.
Trong khi thông báo cho bạn về phiên bản Drupal mới nhất tuần trước đã giải quyết lỗ hổng thực thi mã từ xa quan trọng này, The Hacker News cũng cảnh báo độc giả về việc khai thác Drupal phổ biến như thế nào giữa các tin tặc và bạn cần cập nhật CMS càng sớm càng tốt.
Vì muộn còn hơn không bao giờ, các quản trị viên trang vẫn chạy các phiên bản dễ bị tổn thương của Drupal được khuyến nghị để vá lỗ hổng bằng cách cập nhật CMS của họ lên Drupal 8.6.10 hoặc Drupal 8.5.11 càng sớm càng tốt để tránh bị khai thác.
Tuy nhiên, nếu trang web của bạn đã bị xâm nhập, chỉ cần cập nhật trang web Drupal của bạn sẽ không xóa "mã dự phòng hoặc mã độc." Để giải quyết hoàn toàn vấn đề, bạn nên làm theo hướng dẫn của Drupal .
Tuần trước, Check Point cũng tiết lộ mộtLỗ hổng RCE 19 tuổi trong phần mềm WinRAR nổi tiếng, cũng được phát hiện tích cực khai thác để cài đặt phần mềm độc hại trên các máy tính vẫn chạy phiên bản phần mềm dễ bị tấn công.
0 nhận xét:
Đăng nhận xét