Hackers encontraram uma maneira de atacar Drupal, e isso pode afetar sua segurança virtual também

O Drupal é o terceiro sistema de gerenciamento de conteúdo (CMS) mais popular do mundo. Fora de contexto, isso não parece ser uma grande conquista, mas quando você leva em conta a enorme vastidão da internet, você verá que esse projeto único de código aberto é responsável por fornecer uma quantidade surpreendente de informações. Também estamos falando de informações importantes. As estatísticas de uso sugerem que, embora um número maior de websites seja baseado no Joomla, os que executam o Drupal têm mais visitantes e, de fato, listas de sites populares do Drupal mostram que ele é o CMS preferido de muitos gigantes corporativos, governos e instituições educacionais.

O problema com isso é que quando o Drupal desenvolve um bug, ele pode afetar um grande número de sites importantes. Infelizmente, mesmo os operadores de portais de Internet de alto perfil nem sempre aplicam correções de segurança a tempo, e os resultados costumam falar por si mesmos. Hoje, falaremos sobre o mais recente bug de segurança, como isso afetou sites vulneráveis e o que poderia ter sido feito para minimizar os danos.

SA-CORE-2019-003 - um bug crítico de execução remota de código

Tudo começou em 20 de fevereiro, quando o Drupal emitiu patches para uma vulnerabilidade de execução remota de código não revelada anteriormente que afetava determinadas versões do sistema de gerenciamento de conteúdo. O bug, conhecido como SA-CORE-2019-003 ou CVE-2019-6340 , está enraizado no fato de que as instalações afetadas do Drupal não limpam adequadamente os dados provenientes de fontes não-formadas e, a princípio, foi pensado que um remédio é possível mesmo sem a aplicação de um patch.

Os desenvolvedores consideraram que algumas mudanças na configuração poderiam ser suficientes, mas poucos dias após a divulgação, eles anunciaram que seus pensamentos iniciais estavam errados. O risco de segurança foi então atualizado para Altamente crítico, mas, apesar disso, alguns proprietários de sites não atualizaram suas instalações imediatamente. Os hackers não precisaram de um segundo convite.

Mineradores de criptomoedas em usinas cibernéticas em instalações vulneráveis do Drupal

Ontem, a Imperva, uma empresa especializada em segurança de sites, disse que apenas três dias após a revelação inicial, os hackers já estavam tentando explorar o SA-CORE-2019-003. Foi um ataque bastante forte, e embora tenha diminuído um pouco, como vamos aprender em um minuto, montar um ataque não é terrivelmente difícil, o que significa que podemos muito bem ver mais alguma atividade em torno do SA-CORE-2019-003.

Estamos falando de execução remota de código. Em outras palavras, os invasores estão mais ou menos livres para fazer o que quiserem depois de explorarem a vulnerabilidade. Nos ataques que a Imperva observou, os bandidos estavam mais interessados em injetar um minerador cryptocurrency em JavaScript chamado CoinIMP, que explora o Monero e o Webchain com a ajuda dos recursos de hardware dos visitantes. Em alguns casos, no entanto, os pesquisadores viram os bandidos colocando shells nos sites afetados, o que significa que eles poderiam fazer upload de arquivos sem permissão ou autenticação.. Da próxima vez, eles podem decidir usar algo mais sinistro, como downloads drive-by, que infectam os computadores dos usuários com malware.

Poderia ter sido pior

Deve ser dito que a criptomoeda de mineração com computadores de pessoas inconscientes não é a forma mais desagradável de cibercrime, e há algumas outras coisas que poderiam ter tornado o ataque muito pior.

Não há como saber o tamanho da campanha. A Imperva notou um aumento significativo, mas eles só podem falar sobre seus clientes, o que significa que não temos dados confiáveis. Muitas pessoas consideram, no entanto, que, como o SA-CORE-2019-003 afeta um número relativamente limitado de versões do Drupal, o ataque não pode ser tão difundido. Na verdade, alguns até pensam que os possíveis alvos são tão poucos e distantes entre si que os hackers considerarão a exploração uma perda de tempo. Obviamente, esperamos que eles estejam certos. Não podemos ignorar o fato, no entanto, de que aproveitar o SA-CORE-2019-003 é mais fácil do que deveria ser.

Um código de prova de conceito torna a exploração rápida e simples

A divulgação inicial de 20 de fevereiro não continha muitos detalhes técnicos, mas é desnecessário dizer que os profissionais de segurança queriam saber mais. Especialistas da Ambionics Security desmontaram o patch e perceberam que havia um pouco mais no bug do que se pensava inicialmente. Para apoiar suas descobertas, eles publicaram uma exploração de prova de conceito. Tudo isso ajudou o Drupal a aprender mais sobre o bug, e a decisão de classificar a vulnerabilidade como Altamente crítica foi tomada.

Infelizmente, a existência de uma exploração publicamente disponível também torna o trabalho dos criminosos um pouco mais fácil, o que significa que, apesar do pequeno número de vítimas em potencial, a ameaça ainda é muito real.

Você poderia argumentar por horas se a decisão da Ambionics de publicar o código era boa ou não. Alguns de vocês provavelmente acham que não há nada de errado com isso, enquanto outros dirão que informar ao Drupal em particular sobre as descobertas e manter o exploit em segredo teria sido a melhor aposta. Alternativamente, você pode apenas certificar-se de que seu site do Drupal está atualizado e esquecer o SA-CORE-2019-003.