Suicide
22.11.2018, 19:19
В конце октября исследователи из Imperva зафиксировали (https://www.imperva.com/blog/dirtycow-bug-drives-attackers-to-a-backdoor-in-vulnerable-drupal-web-servers/) короткую серию атак, нацеленных на угон Linux-серверов. Чтобы добраться до цели и открыть бэкдор, злоумышленники пытались использовать две уязвимости — Drupalgeddon 2 и Dirty COW.
Точкой входа служили сайты, использующие непропатченную CMS-систему Drupal. Эксплойт бреши удаленного исполнения кода (RCE), известной как Drupalgeddon 2 (https://threatpost.ru/patching-drupalgeddon-2-asap-is-a-must/25339/), позволяет атакующим получить доступ к сайту. Отсюда они могут начать просмотр файлов локальных настроек с целью получения паролей к базе данных.
https://media.kasperskycontenthub.com/wp-content/uploads/sites/32/2018/11/21070125/Drupalgeddon-2-Dirty-COW-680x400.jpg
Подобная тактика, по словам экспертов, вполне себя оправдывает, так как многие администраторы в качестве дефолтного пользователя базы данных оставляют root. Обнаружив такой аккаунт в настройках соединений, злоумышленники пытались использовать пароль для повышения привилегий на сервере. Если это не удавалось, авторы атаки пускали в ход другой эксплойт — к уязвимости Dirty COW (https://threatpost.ru/serious-dirty-cow-linux-vulnerability-under-attack/18818/) (исследователи идентифицировали три варианта зловредного кода). Доступ уровня root был им нужен, чтобы установить на сервере SSH-демон и открыть канал связи для передачи вредоносных команд.
В ходе интервью для ZDNet глава аналитиков Imperva Надав Авитал (Nadav Avital) заявил (https://www.zdnet.com/article/hackers-use-drupalgeddon-2-and-dirty-cow-exploits-to-take-over-web-servers/), что защитные решения компании заблокировали эксплойт на «десятках сайтов», поэтому конечную цель атакующих выяснить не удалось. Эксперт полагает, что ею вполне мог быть криптоджекинг: авторы 88% RCE-атак (https://www.imperva.com/blog/new-research-crypto-mining-drives-almost-90-remote-code-execution-attacks/), зарегистрированных Imperva в декабре прошлого года, пытались установить майнер.
Журналист ZDNet в свою очередь отметил, что эксплойт-кампания, о которой рассказал Авитал, на самом деле могла быть гораздо масштабнее: на большинстве серверов демон SSH уже запущен, и злоумышленникам не нужно полностью отрабатывать свой сценарий.
Их атаки полагались на использование двух хорошо известных уязвимостей, патчи для которых давно выпущены. Владельцы сайтов и серверов могут с легкостью оградить себя от подобных нападений, обновив CMS Drupal и Linux-серверы. Собеседника ZDNet больше всего печалит актуальность уязвимости Drupalgeddon 2. Разработчики закрыли ее полгода назад, однако попытки эксплойта до сих пор не утихают (https://threatpost.ru/cryptojacking-attack-targets-make-a-wish-foundation-website/29264/), так как темпы латания этой в высшей степени опасной бреши на местах, по выражению Авитала, «летаргические».
21.11.2018
https://threatpost.ru/attackers-chain-drupalgeddon-2-and-dirty-cow/29314/
Точкой входа служили сайты, использующие непропатченную CMS-систему Drupal. Эксплойт бреши удаленного исполнения кода (RCE), известной как Drupalgeddon 2 (https://threatpost.ru/patching-drupalgeddon-2-asap-is-a-must/25339/), позволяет атакующим получить доступ к сайту. Отсюда они могут начать просмотр файлов локальных настроек с целью получения паролей к базе данных.
https://media.kasperskycontenthub.com/wp-content/uploads/sites/32/2018/11/21070125/Drupalgeddon-2-Dirty-COW-680x400.jpg
Подобная тактика, по словам экспертов, вполне себя оправдывает, так как многие администраторы в качестве дефолтного пользователя базы данных оставляют root. Обнаружив такой аккаунт в настройках соединений, злоумышленники пытались использовать пароль для повышения привилегий на сервере. Если это не удавалось, авторы атаки пускали в ход другой эксплойт — к уязвимости Dirty COW (https://threatpost.ru/serious-dirty-cow-linux-vulnerability-under-attack/18818/) (исследователи идентифицировали три варианта зловредного кода). Доступ уровня root был им нужен, чтобы установить на сервере SSH-демон и открыть канал связи для передачи вредоносных команд.
В ходе интервью для ZDNet глава аналитиков Imperva Надав Авитал (Nadav Avital) заявил (https://www.zdnet.com/article/hackers-use-drupalgeddon-2-and-dirty-cow-exploits-to-take-over-web-servers/), что защитные решения компании заблокировали эксплойт на «десятках сайтов», поэтому конечную цель атакующих выяснить не удалось. Эксперт полагает, что ею вполне мог быть криптоджекинг: авторы 88% RCE-атак (https://www.imperva.com/blog/new-research-crypto-mining-drives-almost-90-remote-code-execution-attacks/), зарегистрированных Imperva в декабре прошлого года, пытались установить майнер.
Журналист ZDNet в свою очередь отметил, что эксплойт-кампания, о которой рассказал Авитал, на самом деле могла быть гораздо масштабнее: на большинстве серверов демон SSH уже запущен, и злоумышленникам не нужно полностью отрабатывать свой сценарий.
Их атаки полагались на использование двух хорошо известных уязвимостей, патчи для которых давно выпущены. Владельцы сайтов и серверов могут с легкостью оградить себя от подобных нападений, обновив CMS Drupal и Linux-серверы. Собеседника ZDNet больше всего печалит актуальность уязвимости Drupalgeddon 2. Разработчики закрыли ее полгода назад, однако попытки эксплойта до сих пор не утихают (https://threatpost.ru/cryptojacking-attack-targets-make-a-wish-foundation-website/29264/), так как темпы латания этой в высшей степени опасной бреши на местах, по выражению Авитала, «летаргические».
21.11.2018
https://threatpost.ru/attackers-chain-drupalgeddon-2-and-dirty-cow/29314/