Les pirates ont trouvé le moyen d'attaquer Drupal, ce qui peut également affecter votre sécurité virtuelle

Drupal est le troisième système de gestion de contenu (CMS) le plus utilisé au monde. Hors contexte, cela ne semble pas être un exploit, mais si vous prenez en compte immensité Internet, vous constaterez que ce projet à source ouverte unique est responsable de la fourniture une quantité étonnante informations. Nous parlons souvent informations importantes également. Les statistiques utilisation suggèrent que, même si un plus grand nombre de sites Web sont basés sur Joomla, ceux qui exécutent Drupal ont davantage de visiteurs. De fait, la liste des sites Drupal populaires montre qu il agit du système de gestion de contenu de choix pour de nombreux géants, gouvernements et établissements enseignement.

Le problème, c’est que lorsque Drupal développe un bogue, il peut affecter un grand nombre de sites importants. Malheureusement, même les opérateurs de portails Internet de haut niveau appliquent pas toujours les correctifs de sécurité à temps et les résultats parlent souvent eux-mêmes. Aujourd hui, nous allons parler du dernier bogue de sécurité, de ses effets sur les sites Web vulnérables et de ce qui aurait pu être fait pour minimiser les dommages.

SA-CORE-2019-003 - Un bogue critique exécution de code à distance

Tout a commencé le 20 février lorsque Drupal a publié des correctifs pour une vulnérabilité exécution de code à distance non précédemment révélée affectant certaines versions du système de gestion de contenu. Le bogue, connu sous le nom de SA-CORE-2019-003 ou CVE-2019-6340 , trouve son origine dans le fait que les installations Drupal concernées ne nettoient pas correctement les données provenant de sources non formelles . un remède est possible même sans application un correctif.

Les développeurs ont estimé que quelques modifications de configuration pourraient suffire, mais quelques jours après la divulgation, ils ont annoncé que leurs réflexions initiales étaient erronées. Le risque de sécurité a ensuite été mis à niveau vers Très critique, mais malgré cela, certains propriétaires de sites Web ont pas mis à jour leurs installations immédiatement. Les hackers avaient pas besoin une seconde invitation.

Cybercrooks plante des mineurs de crypto-monnaie sur des installations vulnérables de Drupal

Hier, Imperva, une société spécialisée dans la sécurité de sites Web, a déclaré que trois jours à peine après la divulgation initiale, des pirates informatiques tentaient déjà exploiter le fichier SA-CORE-2019-003. L’attaque était assez forte et, même si elle s’est quelque peu atténuée, comme nous le saurons dans une minute, monter une attaque n’est pas terriblement difficile, ce qui signifie que nous pourrions très bien voir plus d’activité autour de SA-CORE-2019-003.

Nous parlons de exécution de code à distance. En autres termes, les attaquants sont plus ou moins libres de faire ce qu ils veulent après avoir exploité la vulnérabilité. Dans les attaques observées par Imperva, les escrocs étaient principalement intéressés par l’injection d’un mineur de crypto-monnaie JavaScript appelé CoinIMP, qui exploite Monero et Webchain à l’aide des ressources matérielles des visiteurs. Dans certains cas, toutefois, les chercheurs ont vu les escrocs placer des obus sur les sites Web concernés, ce qui leur permettait de télécharger des fichiers sans autorisation ni authentification.. La prochaine fois, ils pourraient décider d’utiliser quelque chose de plus sinistre, comme des téléchargements ponctuels qui infectent les ordinateurs des utilisateurs avec des logiciels malveillants.

Ça aurait pu être pire

Il faut dire que extraction de la crypto-monnaie avec les ordinateurs de personnes involontaires est pas la pire forme de cybercriminalité, et quelques autres choses auraient pu aggraver attaque.

Il y a aucun moyen de savoir quelle est la taille de la campagne. Imperva a remarqué une légère hausse, mais ils ne peuvent parler que de leurs clients, ce qui signifie que nous ne disposons aucun chiffre fiable. Cependant, nombreux sont ceux qui pensent que, vu que SA-CORE-2019-003 concerne un nombre relativement limité de versions de Drupal, attaque ne peut pas être aussi répandue. En fait, certains pensent même que les cibles possibles sont si peu nombreuses que les pirates informatiques jugeront exploit comme une perte de temps. De toute évidence, nous espérons qu ils ont raison. Cependant, nous ne pouvons ignorer le fait qu’il est plus facile de tirer parti de la norme SA-CORE-2019-003 que prévu.

Un code de validation de concept permet une exploitation simple et rapide

La divulgation initiale du 20 février ne contenait pas beaucoup de détails techniques, mais il va sans dire que les professionnels de la sécurité souhaitaient en savoir plus. Des experts d’Ambionics Security ont démonté le correctif et se sont rendu compte que le bogue était un peu plus complexe que prévu. Pour appuyer leurs conclusions, ils ont publié un exploit de type Proof-of-Concept. Tout cela a aidé Drupal à en savoir plus sur le bogue et à prendre la décision évaluer la vulnérabilité comme hautement critique.

Malheureusement, l’existence d’un exploit accessible au public facilite également le travail des criminels, ce qui signifie que malgré le petit nombre de victimes potentielles, la menace est toujours bien réelle.

Vous pourriez argumenter pendant des heures pour déterminer si la décision Ambionics de publier le code est bonne ou non. Certains entre vous pensent probablement qu il y a rien de mal à cela alors que autres diront qu informer en privé Drupal des résultats et garder exploit en secret aurait été le meilleur choix. Sinon, vous pouvez simplement vous assurer que votre site Web Drupal est mis à jour et oublier SA-CORE-2019-003.