15 oct. 2018

Sitios de Drupal vulnerables a Drupalgeddon son infectados con Shellbot

La vulnerabilidad de Drupalgeddon 2.0 está siendo explotada nuevamente por los atacantes usando una técnica tradicional de Shellbot o PerlBot.

Los investigadores advierten sobre una nueva ola de ataques contra sitios web de Drupal sin parches que son vulnerables a Drupalgeddon 2.0. Lo que es exclusivo de esta última serie de ataques es que los adversarios están usando malware PowerBot, un bot controlado por IRC también llamado PerlBot o Shellbot.

Los investigadores de los Servicios de Seguridad Gestionados de IBM Security informaron sobre la actividad el miércoles y dijeron que un ataque exitoso puede abrir una puerta trasera a sitios web vulnerables de Drupal, lo que otorga a los adversarios un control completo sobre el sitio. Bajo el NIST Common Maluse Scoring System, la vulnerabilidad Drupalgeddon 2.0 recibió una puntuación de 24/25, o altamente crítica.

El equipo de seguridad de Drupal ha sabido acerca de la vulnerabilidad desde marzo, informando bajo CVE-2018-7600. Se estima que Drupal se utiliza en el 2,3 por ciento de todos los sitios web y aplicaciones web en todo el mundo.

"Aquellos sitios que se encuentren sin parches o vulnerables por alguna otra razón podrían caer bajo el control del atacante, lo que podría significar un compromiso total de ese sitio. Con este nivel de control, el atacante tiene acceso al sitio como un recurso desde el cual puede robar datos, alojar contenido malicioso o lanzar ataques adicionales", escribieron los coautores Noah Adjonyo y Limor Kessem en una publicación de blog.

Según los investigadores, los atacantes escanean sitios web buscando específicamente la vulnerabilidad Drupalgeddon 2.0. Si el objetivo tiene la vulnerabilidad, los atacantes escanean las páginas /user/register y /user/password en la fase de instalación mientras se realiza un ataque de fuerza bruta para obtener una contraseña de usuario. Una vez que el atacante ha roto la autenticación, instala la puerta trasera de Shellbot. La instancia de Shellbot que los investigadores de IBM han visto, utilizando un canal de IRC como centro comando y control (C&C).

Shellbot es un script backdoor que existe desde 2005. Está diseñado para explotar sitios web controlados por bases de datos MySQL, incluidos aquellos con un sistema de gestión de contenido (CMS) como Drupal. Shellbot es reconfigurando constantemente para encontrar diferentes vulnerabilidades de ejecución remota de código. A medida que pasa el tiempo, es posible que una versión de Shellbot pueda explotar vulnerabilidades que aún no han sido detectadas.

Una vez que el servidor de comando y control del atacante tiene acceso a un sitio web Drupal, puede buscar vulnerabilidades de inyección de SQL, ejecutar ataques DDoS, distribuir correo no deseado de phishing y eliminar a cualquier cryptominer existente para instalar su propio malware de cifrado.

Durante el año pasado, desde que Drupalgeddon fue divulgado y parcheado públicamente, ha habido varias bandas que han explotado la vulnerabilidad en sitios tan notables como el zoológico de San Diego, Lenovo y la Junta Nacional de Relaciones Laborales. En muchas de esas incidencias, los atacantes han instalado mineros de criptomonedas.

La solución es actualizar las versiones 7.x, 8.3.x, 8.4.x, y 8.5.x que fueron lanzadas el pasado 28 de marzo de 2018.

Fuente: ThreatPost

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!