黑客已經找到了攻擊Drupal的方法,這也可能會影響您的虛擬安全
Drupal是世界上第三大最受歡迎的內容管理系統(CMS)。脫離背景,這聽起來並不是一個很大的成就,但是當你考慮到互聯網的巨大空間時,你會發現這個單一的開源項目負責提供驚人數量的信息。我們經常談論重要信息。使用情況統計表明,雖然有更多的網站基於Joomla,但運行Drupal的網站有更多的訪問者,事實上,流行的Drupal網站列表顯示它是許多企業巨頭,政府和教育機構的首選CMS。
這個問題是當Drupal開發出一個bug時,它會影響很多重要的網站。可悲的是,即使是備受矚目的互聯網門戶網站的運營商也並不總是按時應用安全補丁,結果往往不言而喻。今天,我們將討論最新的安全漏洞,它如何影響易受攻擊的網站,以及可以採取哪些措施來最大限度地減少損害。
SA-CORE-2019-003 - 一個關鍵的遠程代碼執行錯誤
這一切都始於2月20日,當時Drupal發布了一個先前未公開的遠程代碼執行漏洞的補丁,該漏洞影響了某些版本的內容管理系統。該錯誤稱為SA-CORE-2019-003或CVE-2019-6340 ,其根源在於受影響的Drupal安裝無法正確清理來自非形式源的數據,並且最初認為即使沒有應用補丁,也可以採取補救措施。
開發人員認為,一些配置更改可能就足夠了,但在披露後的幾天,他們宣布他們最初的想法是錯誤的。然後將安全風險升級為高度關鍵,但儘管如此,一些網站所有者並未立即更新其安裝。黑客不需要第二次邀請。
Cybercrooks在易受攻擊的Drupal安裝上種植加密貨幣礦工
昨天,專門從事網站安全的Imperva公司表示 ,在首次披露後僅三天,黑客就已經開始嘗試利用SA-CORE-2019-003。這是一次相當強烈的攻擊,儘管它已經有所緩和,正如我們將在一分鐘內了解到的那樣,進行攻擊並不是非常困難,這意味著我們可能會在SA-CORE-2019-003周圍看到更多的活動。
我們談論的是遠程代碼執行。換句話說,攻擊者在利用漏洞後或多或少可以自由地做任何他們想做的事情。在Imperva觀察到的攻擊中,騙子最感興趣的是注入一個名為CoinIMP的JavaScript加密貨幣礦工,該礦工在訪客的硬件資源的幫助下挖掘Monero和Webchain。然而,在某些情況下,研究人員看到騙子們在受影響的網站上放置貝殼,這意味著他們可以在未經許可或認證的情況下上傳文件. 下一次,他們可能會決定使用更惡毒的東西,例如用惡意軟件感染用戶計算機的偷渡式下載。
它本來會更糟
必須要說的是,用不知情的人的計算機挖掘加密貨幣並不是最糟糕的網絡犯罪形式,還有一些其他因素可能會使攻擊更加嚴重。
無法知道廣告系列有多大。 Imperva注意到了一個顯著的上升,但他們只能談論他們的客戶,這意味著我們沒有任何可靠的數字。然而,許多人認為,由於SA-CORE-2019-003影響了相對有限的Drupal版本範圍,因此攻擊不會那麼普遍。事實上,有些人甚至認為可能的目標是如此之少,而且黑客們認為這種攻擊是浪費時間。顯然,我們希望他們是對的。然而,我們不能忽視這樣一個事實,即利用SA-CORE-2019-003比它應該更容易。
概念驗證代碼使開髮變得快速而簡單
從2月20日開始的初步披露並沒有太多技術細節,但不用說,安全專業人員想要了解更多。來自Ambionics Security的專家將修補程序拆開,並意識到該錯誤比最初想像的要多一些。為了支持他們的發現,他們發布了一個概念驗證漏洞。所有這些都幫助Drupal更多地了解了這個bug,並且決定將漏洞評為高度關鍵。
不幸的是,公共利用漏洞的存在也使犯罪分子的工作變得更加容易,這意味著儘管潛在受害者人數很少,但威脅仍然非常真實。
你可以爭論幾個小時Ambionics決定發布代碼是否合適。你們中的一些人可能認為它沒有任何問題,而其他人會說私下通知Drupal關於調查結果並保持漏洞利用將是更好的選擇。或者,您可以確保更新Drupal網站並忘記SA-CORE-2019-003。