Tres días es el tiempo que tardaron los piratas informáticos en lanzar ataques en los sitios de Drupal utilizando un exploit para una vulnerabilidad que el proyecto CMS parchó la semana pasada.
Detectados por la empresa de cortafuegos internet Imperva, los ataques intentaron explotar sitios Drupal sin parches y colocar un minero de criptomonedas JavaScript llamado CoinIMP en sitios vulnerables.
El script de minería de monedas, que funciona de manera related al Coinhive más conocido, habría utilizado los navegadores de todos los visitantes del sitio internet para extraer la criptomoneda Monero para los piratas informáticos.
Los ataques comenzaron el sábado 23 de febrero, según Imperva, tres días después de que el proyecto Drupal parchó una vulnerabilidad rastreada como CVE-2019-6340 y dos días después de que el código de explotación de prueba de concepto (PoC) estuvo ampliamente disponible en línea en varios sitios internet de plataformas [1, 2].
Imperva cube que los cientos de ataques que detectó utilizaron uno de los PoC como base para su rutina de explotación, lo que sugiere una vez más que es más possible que la publicación de un código de prueba de concepto ayude a los atacantes que a los propietarios de sitios internet.
Imagen: Imperva
Los ataques que intentan explotar CVE-2019-6340 para entregar criptomineros no son únicos. El sistema de administración de contenido (CMS) Drupal recibió dos parches importantes el año pasado para dos vulnerabilidades llamadas Drupalgeddon 2 (CVE-2018-7600) y Drupalgeddon 3 (CVE-2018-7602).
De manera related a lo que sucedió la semana pasada, los investigadores de seguridad que analizaron las dos vulnerabilidades durante el año pasado lanzaron un código PoC que ayudó a los atacantes a lanzar ataques en cuestión de días. Al igual que la semana pasada, los criptomineros fueron su carga útil preferida [1, 2].
Pero si bien los errores de Drupalgeddon 2 y Drupalgeddon 3 afectaron a la gran mayoría de los sitios de Drupal, la buena noticia es que el error de la semana pasada, CVE-2019-6340, solo afecta a los sitios de Drupal 8 y no a la versión de Drupal 7 más in style y distribuida.
Hay alrededor de 63,000 sitios Drupal 8, dijo a ZDNet Troy Mursch, cofundador de Dangerous Packets LLC. Además, solo los sitios de Drupal 8 que tienen una cierta combinación de módulos habilitados son vulnerables, lo que significa que muy pocos de ellos son realmente vulnerables, dijo Mursch.
En common, aunque la vulnerabilidad de Drupalgeddon 2 tardó meses en parchearse y solo se explotó el otoño pasado, no parece que esta nueva falla se explote durante más de unos pocos días antes de que los piratas informáticos se den cuenta de que están perdiendo el tiempo.
Con un número estimado de sitios internet vulnerables de cientos o miles de un whole de 1,2 millones de sitios internet de Drupal, esta es una pequeña superficie de ataque que no atraerá a muchos grupos de hackers en el futuro.
Ya salió WordPress 5.0. ¡Aquí hay un recorrido por las nuevas características!