殭屍網路鎖定Drupal漏洞大規模攻擊、10萬Drupal網站未更新,可能成為挖礦樂園

快修補!殭屍網路鎖定Drupal漏洞大規模攻擊

安全公司Net360 Labs上周發現架站軟體Drupal的漏洞遭到感染Linux伺服器及物聯網裝置的殭屍網路攻擊,散佈挖礦程式或發動DDoS。

研究人員4月中發現Drupal編號為CVE- 2018-7600的漏洞出現大量掃瞄行為。這項漏洞早在3月底已經有修補程式,它存在於多個版本的Drupal中, 可讓攻擊者存取伺服器的URL,注入攻擊程式碼, 以完全接管伺服器,該漏洞也被稱為Drupalgaddon2。

研究人員自4月初發現Drupalgaddon2被掃瞄次數大量增加,研判至少遭遇3組惡意程式利用該漏洞散佈。 其中一個為殭屍網路惡意程式。研究人員以其二進位檔名及通訊IRC通道發現到的名稱而稱之為Muhstik。

Muhstik屬於Tsunami的變種,後者從2011年起開始散佈感染上萬Unix與Linux伺服器, 對外發動分散式阻斷攻擊(DDoS)。研究顯示,Muhstik會運用10多台C&C IP散佈,其中許多來自執行Drupal的伺服器,用以散佈7種攻擊工具,其中以發動DDoS或是在受害的伺服器上安裝XMRig及CGMiner來謀利,後兩者分別是Monero及Dash加密貨幣的挖礦程式。

研究人員指出,Muhstik存在許久,使其開採的漏洞眾多,Drupalgaddon2只是其中之一。一如Tsunami的殭屍網路特性,Muhstik會在受害機器下載掃瞄模組, 這個模組能掃瞄連網機器傳輸埠, 尋找其他有漏洞而未修補的伺服器軟體,以便用不同工具開採後遠端控制或接收回報訊息。

總計它掃瞄的傳輸埠包括80、8080、 7001、及2004,使得除了Drupal外,Webdav、 WebLogic、Webuzo、WordPress等伺服器都成為其目標,藉此在網路上散佈。Net 360 Labs下的GreyNoise Intelligence另外也發佈WebLogic伺服器漏洞開採行為有大量增加的跡象。 

Drupal維護機構已經修補存在6.x到8.x版的漏洞, 因此管理員應儘速安裝修補程式以免受害。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

研究發現還有約10萬Drupal網站未更新,可能成為挖礦樂園

內容管理系統Drupal在2018年3月爆出代號為CVE-2018-7600的客戶端程式碼執行漏洞Drupalgeddon 2,雖然官方已經釋出修正版本,但是根據研究,還有超過10萬個Drupal網站沒有更新,其中許多已經被入侵且植入惡意挖礦程式,不乏許多知名網站或是政府機構網頁。

資安研究員Troy Mursch使用程式碼搜尋引擎PublicWWW找到約50萬個使用Drupal 7的網站,經過他對這些網站進行掃描後,發現有115,070個使用容易被攻擊的老舊Drupal版本,134,447個網站沒有漏洞,而有225,056個網站無法確定Drupal版本。Troy Mursch提到,Drupal版本至少要到7.58才不會受到Drupalgeddon 2漏洞影響。

Drupal安全小組則認為,Troy Mursch的研究方法存在問題,因為他判別Drupal版本是根據網站上公開的CHANGELOG.txt,但可能在這115,070被Troy Mursch認為容易受攻擊的網站,已經做了相對應用的措施。對此Troy Mursch回應,要嘗試入侵50萬個網站絕對是非法的行為,因此他無法採取更進一步的方法,來證明這些網站都是易受入侵的,而他也認為,這115,070個網站使用過時的Drupal版本,本來就非維護網站安全的最佳實踐。

另外,也不是只有Troy Mursch在研究Drupal過期版本的漏洞議題,資安廠商Malwarebytes Labs也一直在關注Drupalgeddon 2漏洞被利用的情況。Malwarebytes Labs以網路裝置搜尋引擎搭配PublicWWW,對約8萬網站進行掃描,發現其中有約有900個網站確定受到入侵。大部分這些網站都託管在AWS等雲端環境,有許多都處在測試階段,雖然沒有對公眾公開,但也沒有更新或是刪除。另外,也有其他部分網站使用其他語言或是用途,但所有受害網站的交集就是過期的Drupal。

Malwarebytes Labs在客戶端發現的惡意軟體,其中有81%都是網頁挖礦程式,12.3%是假更新,剩下6.7%是技術詐騙。Malwarebytes Labs直指,2017年秋天是惡意挖礦行為最猖獗的時候,在2018年初已經有減緩的趨勢,是Drupal的漏洞重新燃起了這個趨勢。該公司提到,很明顯加密貨幣採礦是現在惡意注入攻擊首選,有許多公開以及私有的API讓這個攻擊變得容易,而且他們正被大量惡意的使用中。

受漏洞影響的網站會隨著時間增加,Malwarebytes Labs認為,CMS的漏洞修補仍然是個問題,潛在的受害網站數量的成長從來沒有停止。根據他們對8萬個網站的調查,還有三分之一的網站使用Drupal 7.3.x,而這是2015年8月釋出版本,加總7.2、7.3以及7.4這些容易受Drupalgeddon 2漏洞影響的網站數量,超過整體的一半。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏