fbpx Actief misbruikt lek in Drupal websites gedicht | IT Experts | Uw partner in IT | Gent | Meetjesland Overslaan en naar de inhoud gaan
drupal

Cybercriminelen zijn actief begonnen met het misbruiken van een recent ontdekt beveiligingslek om cryptocurrency miners op kwetsbare Drupal-websites (die nog geen patches hebben toegepast) te installeren. Het lek werd ondertussen gedicht door het Drupal-team maar heel wat niet-geüpdatete websites blijven kwetsbaar.

Vorige week hebben ontwikkelaars van het populaire open source contentbeheersysteem Drupal een kritieke kwetsbaarheid (CVE-2019-6340) in Drupal Core opgelost die aanvallers in staat zou stellen om code uit te voeren op getroffen websites.

Ondanks het feit dat er geen technische details over de kwetsbaarheid van de beveiliging zijn vrijgegeven, werd de proof-of-concept (PoC) malware code voor de kwetsbaarheid openbaar gemaakt op het internet. En dit pas twee dagen nadat het Drupal-beveiligingsteam de gepatchte versie van de software had ontwikkeld.

Nu ontdekten beveiligingsonderzoekers van datacenter- en beveiligingsbedrijf Imperva een reeks aanvallen - die net een dag nadat de exploit-code openbaar was gepubliceerd - tegen de websites van haar klanten gebruikt werd.

De aanvallen zijn afkomstig van hackers uit verschillende landen en hebben zich gericht op de kwetsbare Drupal-websites, inclusief sites in de overheid en de financiële-dienstensector, die nog steeds kwetsbaar zijn voor de recentelijk gerepareerde Drupal Core-kwetsbaarheid.

Volgens de onderzoekers begonnen de aanvallen op 23 februari, (slechts drie dagen nadat de Drupal-ontwikkelaars het lek hadden hersteld), en probeerden een JavaScript-cryptocurrency-miner met de naam CoinIMP op de kwetsbare Drupal-websites te injecteren om Monero en Webchain cryptocurrency te mijnen voor de hackers.

Net als de beruchte CoinHive-service is CoinIMP een browser-gebaseerd cryptocurrency-mining-script dat aanvallers in het index.php-bestand van de kwetsbare Drupal-websites injecteren, zodat bezoekers van de site het minescript uitvoert en cryptocurrency mijnen wanneer ze op de hoofdpagina van de site bladeren.

Omdat het beter laat dan nooit is, worden sitebeheerders die kwetsbare versies van Drupal draaien ten zeerste aangeraden om het beveiligingslek te repareren door hun CMS zo snel mogelijk bij te werken naar Drupal 8.6.10 of Drupal 8.5.11 om misbruik te voorkomen.

Er moet ook worden opgemerkt dat uw op Drupal gebaseerde website alleen wordt beïnvloed als de RESTful Web Services (rest) -module is ingeschakeld en PATCH- of POST-aanvragen toestaat of als een andere webservicemodule is ingeschakeld.

Als uw website echter al in gevaar is gebracht, zou het bijwerken van uw Drupal-website de "backdoors of malwarecode" niet verwijderen. Om het probleem volledig op te lossen, wordt u aangeraden om de Drupal-handleiding te volgen.