Gli hacker hanno trovato il modo di attaccare Drupal, e questo può influenzare anche la tua sicurezza virtuale

Drupal è il terzo sistema di gestione dei contenuti più popolare al mondo (CMS). Fuori dal contesto, questo non sembra un grande traguardo, ma quando si prende in considerazione la vastità di Internet, vedrete che questo singolo progetto open source è responsabile della fornitura di un infinità di informazioni. Parliamo spesso anche di informazioni importanti. Le statistiche sull utilizzo suggeriscono che mentre un numero maggiore di siti Web si basa su Joomla, quelli che eseguono Drupal hanno più visitatori e, in effetti, gli elenchi di popolari siti Drupal mostrano che è il CMS preferito da molti giganti, governi e istituzioni scolastiche.

Il problema è che quando Drupal sviluppa un bug, può interessare un gran numero di siti Web importanti. Purtroppo, anche gli operatori di portali Internet di alto profilo non applicano sempre le patch di sicurezza in tempo e i risultati parlano spesso da soli. Oggi parleremo del più recente bug di sicurezza, di come ha interessato i siti Web vulnerabili e di cosa si sarebbe potuto fare per minimizzare il danno.

SA-CORE-2019-003 - un bug di esecuzione di codice remoto critico

Tutto è iniziato il 20 febbraio, quando Drupal ha rilasciato patch per una vulnerabilità di esecuzione di codice in remoto precedentemente sconosciuta che riguardava alcune versioni del sistema di gestione dei contenuti. Il bug, noto come SA-CORE-2019-003 o CVE-2019-6340 , è radicato nel fatto che le installazioni Drupal interessate non disinfettano correttamente i dati provenienti da fonti non formali e, in un primo momento, si pensava che un rimedio è possibile anche senza applicazione di una patch.

Gli sviluppatori hanno stimato che alcune modifiche alla configurazione potrebbero essere sufficienti, ma pochi giorni dopo la divulgazione, hanno annunciato che i loro pensieri iniziali erano sbagliati. Il rischio per la sicurezza è stato quindi aggiornato a Molto critico, ma nonostante questo, alcuni proprietari di siti Web non hanno aggiornato immediatamente le loro installazioni. Gli hacker non avevano bisogno di un secondo invito.

I cybercriminatori organizzano minatori di criptovaluta su installazioni Drupal vulnerabili

Ieri, Imperva, una società specializzata nella sicurezza dei siti Web, ha affermato che solo tre giorni dopo la divulgazione iniziale, gli hacker stavano già tentando di sfruttare SA-CORE-2019-003. E stato un attacco abbastanza forte, e anche se è diminuito un po, come impareremo in un minuto, montare un attacco non è terribilmente difficile, il che significa che potremmo vedere molto più attività intorno a SA-CORE-2019-003.

Stiamo parlando del esecuzione di codice remoto. In altre parole, gli aggressori sono più o meno liberi di fare ciò che vogliono dopo aver sfruttato la vulnerabilità. Negli attacchi che Imperva ha osservato, i truffatori erano interessati principalmente a iniettare un minatore di cryptocurrency JavaScript chiamato CoinIMP che estrae Monero e Webchain con aiuto delle risorse hardware dei visitatori. In alcuni casi, tuttavia, i ricercatori hanno visto i truffatori posizionare le shell sui siti Web interessati, il che significa che potevano caricare file senza autorizzazione o autenticazione. La prossima volta, potrebbero decidere di utilizzare qualcosa di più sinistro come download drive-by che infetta i computer degli utenti con malware.

Sarebbe potuta andare peggio

Va detto che la criptovaluta mineraria con i computer delle persone inconsapevoli non è la forma più crudele di crimine informatico, e ci sono alcune altre cose che potrebbero aver peggiorato attacco.

Non è modo di sapere quanto è grande la campagna. Imperva ha notato un aumento significativo, ma possono parlare solo dei loro clienti, il che significa che non abbiamo dati affidabili. Molti ritengono, tuttavia, che poiché SA-CORE-2019-003 influisce su un intervallo relativamente limitato di versioni Drupal, attacco non può essere così diffuso. In effetti, alcuni pensano addirittura che i possibili obiettivi siano così pochi e distanti tra loro, che gli hacker considereranno exploit una perdita di tempo. Ovviamente, speriamo che abbiano ragione. Non possiamo trascurare il fatto, tuttavia, che sfruttare SA-CORE-2019-003 è più semplice di quanto dovrebbe essere.

Un codice Proof-of-Concept rende lo sfruttamento rapido e semplice

La divulgazione iniziale del 20 febbraio non conteneva molti dettagli tecnici, ma inutile dire che i professionisti della sicurezza volevano saperne di più. Gli esperti di Ambionics Security hanno tolto la patch e hanno capito che era un po più di bug rispetto a quanto inizialmente pensato. Per sostenere le loro scoperte, hanno pubblicato un exploit Proof-of-Concept. Tutto ciò ha aiutato Drupal a conoscere meglio il bug e la decisione di valutare la vulnerabilità in base a quanto criticato.

Sfortunatamente, esistenza di un exploit pubblicamente disponibile rende anche il lavoro dei criminali un po più semplice, il che significa che nonostante il piccolo numero di potenziali vittime, la minaccia è ancora molto reale.

Potresti discutere per ore se la decisione della Ambionics di pubblicare il codice fosse buona o no. Alcuni di voi probabilmente pensano che non ci sia nulla di sbagliato in questo mentre altri diranno che informando Drupal in modo privato dei risultati e mantenendo exploit sotto copertura sarebbe stata la soluzione migliore. In alternativa, puoi semplicemente assicurarti che il tuo sito web Drupal sia aggiornato e dimentichi SA-CORE-2019-003.