08/10/19
Исправленная полтора года назад критическая уязвимость в системе управления контентом Drupal по-прежнему активно используется в кибератаках на крупные web-сайты. Речь идет об уязвимости под названием Drupalgeddon2 (CVE-2018-7600), обнаруженной в марте 2018 года. Ее можно проэксплуатировать при заводских настройках Drupal для удаленного выполнения кода.
Проблема затрагивает версии Drupal 7.58 и более ранние, версии 8.x до 8.3.9, версии 8.4.x до 8.4.6 и версии 8.5.x до 8.5.1. По данным Drupal, на момент ее обнаружения уязвимыми были более 1 млн сайтов. Эксплоиты для Drupalgeddon2 были разработаны практически сразу же.
Исправление для уязвимости вышло полтора года назад, и web-мастерам настоятельно рекомендовалось установить его как можно скорее. Тем не менее, как сообщают специалисты компании Akamai, злоумышленники по-прежнему используют Drupalgeddon2 для атак на крупные сайты.
Киберпреступники эксплуатируют уязвимость с помощью вредоносного GIF-файла index.inc.gif, хранящегося на посвященном бодисерфингу бразильском сайте, который, вероятнее всего, был взломан. Изображение содержит обфусцированный PHP-код и заархивированное вредоносное ПО, зашифрованное с помощью base64. Вредонос представляет собой Perl-скрипт, подключающийся к C&C-инфраструктуре по IRC, обладает функциями трояна для удаленного доступа (RAT) и позволяет осуществлять (D)DoS-атаки.
