Se explota un nuevo fallo en Drupal para minar Monero

  • Vulnerabilidades

Trend Micro ha detectado que se está explotando una vulnerabilidad, CVE-2018-7602, en Drupal bautizada ya como Drupalgeddon 3 para minar Monero en los sistemas afectados.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

El cryptojacking se está convirtiendo en una de las actividades más demandadas de los usuarios. Tanto como para que esta amenaza esté superando a la de ransomware. Consiste en robar recursos de cómputo de los sistemas afectados, cuya vida útil se ve afectada por el constante sobreesfuerzo y sobrecalentamiento, y eso sin olvidar el incremento en la factura de la luz.

Investigadores de Trend Micro explican en un post que la vulnerabilidad que se está explotando es la CVE-2018-7602, un fallo de ejecución remota de código en Drupal 7 y 8 que fue parcheada el pasado 25 de abril. Este ataque demuestra que muchos usuarios aún no han aplicado el parche.

El fallo de seguridad fue descubierto después de que el equipo de seguridad de Drupal reparara otra vulnerabilidad, CVE-2018-7600, también conocido como Drupalgeddon 2, que había sido parcheado el 28 de marzo. El fallo que se está explotando, CVE-2018-7602, o Drupalgeddon 3, permite modificar o borrar contenido de un site que utilice Drupal.

Explica Trend Micro que lo que hace este ataque tan notablre es que emplea el método HTTP 1.0 POST para enviar datos de vuelta en la función SEND_DATA (). La ruta de destino para el método POST es /drupal/df.php. “El tráfico HTTP 1.0 es bastante raro en este tipo de ataques, ya que la mayoría del tráfico HTTP de muchas organizaciones ya está en HTTP 1.1 o posterior. Y dada esta aparente variación, prevemos esto como un patrón en futuros ataques”, dicen los investigadores.

El minero Monero instalado en la máquina es el XMRig de código abierto (versión 2.6.3). También verifica si la máquina está comprometida o no. Cuando el minero comienza a correr, cambia su nombre de proceso a [^ $ I $ ^] y accede al archivo /tmp/dvir.pid. El nombre del proceso es una señal de alerta “que los administradores o los profesionales de la seguridad de la información pueden tener en cuenta para discernir las actividades maliciosas, como cuando se implementan sistemas de detección y prevención de intrusiones basados en host o se realizan análisis forenses”.