利用CVE-2018-7602 Drupal漏洞 Drupalgeddon3 Monero挖矿

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

试图利用最近修补的Drupal漏洞(被追踪为CVE-2018-7602)将Monero挖掘恶意软件放到易受攻击的系统上。

利用CVE-2018-7602 Drupal漏洞 Drupalgeddon3 Monero挖矿

CVE-2018-7602 漏洞是一个非常关键的远程代码执行的问题,也被称为Drupalgeddon3,这是由Drupal的团队在解决

四月与版本7.59,8.4.8和8.5.3的发布。

如果安装时已经安装了原始Drupalgeddon2漏洞(CVE-2018-7600)的修补程序,则该漏洞的安全修补程序才有效。

今年5月,Malwarebytes的安全专家报告说,骗子正在利用 Drupalgeddon2 和 Drupalgeddon3 交付加密货币矿工,远程管理工具(RAT)和技术支持诈骗。

现在,趋势科技的专家报告称,利用CVE-2018-7602漏洞为Monero挖矿的网络攻击。骗子利用漏洞获取一个shell脚本来检索基于可执行和可链接格式(ELF)的下载程序。

恶意代码添加一个crontab条目以自动更新自身,并下载并执行修改后的开源XMRig(版本2.6.3)Monero矿工。

“我们能够观察到一系列利用CVE-2018-7602的网络攻击 ,这是Drupal内容管理框架中的一个安全缺陷。目前,这些攻击的目标是将受影响的系统转变为Monero采矿机器人。“阅读TrendMicro发布的分析报告。

“虽然这些攻击目前提供了资源窃取和系统性能 - 减缓了恶意软件,但该 漏洞 可用作 其他威胁的 入口。”

攻击者曾经隐藏他们在Tor网络后面的活动,专家们将其追踪到197 [。] 231 [。] 221 [。] 211,该地址属于与虚拟专用网络(VPN)提供者相关的一系列IP。

下载器检查目标机器,以确定它是否可以使用Drupal漏洞攻陷。

一旦执行,矿工会将其进程名称更改为[^ $ I $ ^]并访问文件/tmp/dvir.pid。

“这是一个红旗,管理员或信息安全专业人员可以考虑识别恶意活动,例如部署基于主机的入侵检测和预防系统或执行取证时,”报告继续说。

CVE-2018-7602

这次袭击背后的演员隐藏在Tor网络的后面,但趋势科技表示他们能够追踪到属于虚拟专用网络(VPN)提供商的IP为197 [。] 231 [。] 221 [。] 211。

趋势科技确认其专家已阻止来自此IP地址的810次攻击,当时没有证据表明所有攻击均与Monero挖掘有效载荷相关。

“来自此IP地址的大量攻击利用 Heartbleed (CVE-2014-0160)。对方攻击我们观察到利用 弹震 (CVE-2014-6271),在WEB的GoAhead(一个信息泄露漏洞CVE-2017-5674),并将其在Apache(内存泄漏缺陷CVE-2004-0113)。”国家趋势科技。

“趋势科技还阻止来自此IP地址的文件传输协议(FTP)和安全外壳(SSH)蛮力登录。”

Drupal管理员敦促尽快安装可用的补丁以避免被黑客入侵。

CE安全网

发表评论

您必须登录才能发表评论!