faille drupal

Exploitation de la Faille Drupal révélée récemment

Des cybercriminels ont commencé à exploiter une vulnérabilité déjà patché. Ils minent de la cryptomonnaie en utilisant les sites Drupal qui sont toujours vulnérables car ils n’ont pas installé le patch.

La semaine dernière, les développeurs du système de gestion de contenu Drupal ont patché une vulnérabilité d’exécution de code à distance (CVE-2019-6340) dans Drupal Core qui permettait aux hackers de pirater les sites affectés.

Ils n’ont révélé aucun détail technique sur cette faille mais le code d’exploitation de la vulnérabilité s’est retrouvé sur Internet seulement 2 jours après qu’ils aient sorti la version patchée du logiciel.

Les chercheurs en sécurité de Imperva ont découvert une série d’attaques qui ont commencé un jour après que le code d’exploitation ait été posté sur internet.

Les attaques viennent de plusieurs personnes et certains pays voient leurs sites gouvernementaux ou financiers être la cible de ces pirates car ils n’ont pas patché leurs systèmes.

Selon les chercheurs, les attaques ont commencé le 23 Février, seulement trois jours après que les développeurs de Drupal aient réglé le problème. Il semblerait que certains d’entre eux cherche à ‘injecter le code Javasript d’un miner nommé CoinIMP pour miner de la cryptomonnaie (Monero et Webchain).

Très semblable au service CoinHive, CoinIMP est un miner basé sur les navigateurs web. Les pirates injectent le code dans le fichier index.php des sites vulnérables pour que les visiteurs du site exécute le scripte à leur insu et qu’ils minent de la cryptomonnaie à chaque fois qu’ils ouvrent la page principale.

Ce n’est pas la première fois que des pirates ciblent des sites Drupal qui sont vulnérables.

L’année dernière, des cybercriminels avaient ciblé des centaines de milliers de sites Drupal en utilisant des exploits qui tiraient profits de deux vulnérabilités d’exécution de code à distance. Ces vulnérabilités se faisaient appelés Drupalgeddon2 et Drupalgeddon3.

Que faire pour se protéger contre cette faille de Drupal?

Les administrateurs de site web doivent absolument mettre à jour leur CMS vers les versions 8.6.10 ou 8.5.11 aussi tôt que possible.

Si votre site a été compromis, une simple mise à jour ne sera pas suffisante car cela ne supprimerait pas les portes dérobées et le code malveillant. Pour résoudre le problème nous vous recommandons de suivre le guide Drupal.

L’année dernière, Check Point a aussi divulgué une vulnérabilité vieille de 19ans dans le logiciel WinRAR. Cette vulnérabilité d’exécution de code à distance permet d’installer du malware sur les PC qui sont encore vulnérable.

Poster un Commentaire

avatar
  S’abonner  
Notifier de