-
-
-
- Новости
- Услуги
- Сообщить об инциденте
- CERT
- Контакты
-
Hackerii au lansat un nou tip de atac împotriva proprietarilor de site-uri Drupal în ultimele câteva zile.
Prin aceste atacuri recente, hackerii urmăresc să obțină un control pe servere, să-și ridice accesul la un cont root și apoi să instaleze un client SSH legitim, astfel încât să se poată loga pe serverele sparte.
Pentru a-și atinge obiectivele, hackerii au folosit două exploitări bine-cunoscute, una dintre ele descoperită în 2016.
Cum are loc atacul
Primii pași în acest atac încep cu hackerii care scanează în mod frecvent Internetul pentru site-urile web care rulează o versiune neactualizată a managerului de content Drupal (CMS) care nu a fost actualizat împotriva vulnerabilității Drupalgeddon 2 care a ieșit la lumină în acest an, în martie.
Când identifică unul dintre aceste site-uri vulnerabile, hackerii implementează un exploit Drupalgeddon 2 pentru a obține acces limitat pe site-urile afectate.
Ei folosesc mai târziu acest control pentru a căuta prin fișierele de configuraţii locale ale site-ului Drupal pentru acreditările de acces la baza de date.
Dacă setările de conectare la baza de date includ un cont cu numele "root", aceștia încearcă acest cont pentru a accesa serverul însuși.
Cu toate acestea, dacă aceasta nu reușește, hackerii se deplasează pentru a implementa un al doilea exploit numit COW Dirty, care este pentru o vulnerabilitate descoperită în 2016, care permite hackerilor să-și ridice accesul dintr-un cont de utilizator limitat la accesul de root.
Hackerii parcurg toți acești pași deoarece au nevoie de acces la un cont de root pentru a instala pe server un daemon legitim SSH.
Într-unul din rapoarte s-au constatat că aproape în 90% din astfel de atacuri se încearcă să instaleze un program malware de cripto-mining.
Având în vedere că acest atac se bazează pe exploatarea a două vulnerabilități foarte cunoscute pentru care patch-urile au fost puse la dispoziție cu mult timp în urmă, proprietarii de site-uri web și de servere se pot asigura cu ușurință că sunt imuni la astfel de atacuri prin actualizarea Drupal și a sistemelor de operare Linux.