faille drupal

Exploitation de la Faille Drupal révélée récemment

Des cybercriminels ont commencé à exploiter une vulnérabilité déjà patché. Ils minent de la cryptomonnaie en utilisant les sites Drupal qui sont toujours vulnérables car ils n’ont pas installé le patch.

La semaine dernière, les développeurs du système de gestion de contenu Drupal ont patché une vulnérabilité d’exécution de code à distance (CVE-2019-6340) dans Drupal Core qui permettait aux hackers de pirater les sites affectés.

Ils n’ont révélé aucun détail technique sur cette faille mais le code d’exploitation de la vulnérabilité s’est retrouvé sur Internet seulement 2 jours après que Drupal ait sorti la version patché du logiciel.

Les chercheurs en sécurité de Imperva ont découvert une série d’attaques qui ont commencé un jour après que le code d’exploitation ait été posté sur internet.

Les attaques viennent de plusieurs personnes et certains pays voit leurs sites gouvernementaux ou financiers être la cible de ces pirates car ils n’ont pas patché Drupal.

Selon les chercheurs, les attaques ont commencé le 23 Février, seulement trois jours après que les développeurs de Drupal aient réglé le problème. Il semblerait que certains d’entre eux cherche à ‘injecter le code Javasript d’un miner nommé CoinIMP pour miner de la cryptomonnaie (Monero et Webchain).

Très semblable au service CoinHive, CoinIMP est un miner basé sur les navigateurs web. Les pirates injectent le code dans le fichier index.php des sites Drupal vulnérables pour que les visiteurs du site exécute le scipte à leur insu et qu’ils minent de la crptomonnaie à chaque fois qu’ils ouvrent la page principale.

Ce n’est pas la première fois que des pirates ciblent des sites Drupal qui sont vulnérables.

L’année dernière, des cybercriminels avaient ciblé des centaines de milliers de sites Drupal en utilisant des exploits qui tiraient profits de deux vulnérabilités d’exécution de code à distance. Ces vulnérabilités se faisaient appelés Drupalgeddon2 et Drupalgeddon3..

Les administrateurs de site web doivent absolument mettre à jour leur CMS vers les versions Drupal 8.6.10 ou Drupal 8.5.11 aussi tôt que possible.

Si votre site a été compromis, une simple mise à jour ne sera pas suffisante car cela ne supprimerait pas les portes dérobées et le code malveillant. Pour résoudre le problème nous vous recommandons de suivre le guide Drupal.

L’année dernière, Check Point a aussi divulgué une vulnérabilité vieille de 19ans dans le logiciel WinRAR. Cette vulnérabilité d’exécution de code à distance permet d’installer du malware sur les PC qui sont encore vulnérable.

Laisser un commentaire