Drupal: Exploitation de la vulnérabilité révélée récemment

Des cybercriminels ont commencé à exploiter une vulnérabilité de Drupal qui a déjà été patché. Ils minent de la cryptomonnaie en utilisant les sites Drupal qui sont toujours vulnérables car leurs administrateurs n’ont pas encore installé le patch.

La semaine dernière, les développeurs du système de gestion de contenu Drupal ont patché une vulnérabilité d’exécution de code à distance (CVE-2019-6340) dans Drupal Core qui permettait aux hackers de pirater les sites affectés.

Ils n’ont révélé aucun détail technique sur cette faille mais le code d’exploitation de la vulnérabilité s’est retrouvé sur Internet seulement 2 jours après qu’ils aient sorti la version patchée du logiciel. Ils ont seulement expliqué que la faille est causée par le fait que certains champs n’assainissent pas correctement les données venant de sources non-formelles. Les noyaux des versions 7 et 8 sont affectés.

faille drupal

Les chercheurs en sécurité informatique de Imperva ont découvert une série d’attaques qui ont commencé un jour après que le code d’exploitation ait été posté sur internet.

Les attaques viennent de plusieurs personnes et certains pays voient leurs sites gouvernementaux ou financiers être la cible de ces pirates car ils n’ont pas patché leurs systèmes.

Selon les chercheurs, les attaques ont commencé le 23 Février, seulement trois jours après que les développeurs de Drupal aient réglé le problème. Il semblerait que certains d’entre eux cherche à ‘injecter le code Javasript d’un miner nommé CoinIMP pour miner de la cryptomonnaie (Monero et Webchain).

drupal

Très semblable au service CoinHive, CoinIMP est un miner basé sur les navigateurs web. Les pirates injectent le code dans le fichier index.php des sites vulnérables pour que les visiteurs du site exécute le scripte à leur insu et qu’ils minent de la cryptomonnaie à chaque fois qu’ils ouvrent la page principale.

Ce n’est pas la première fois que des pirates informatiques ciblent des sites Drupal qui sont vulnérables.

L’année dernière, des cybercriminels avaient ciblé des centaines de milliers de sites Drupal en utilisant des exploits qui tiraient profits de deux vulnérabilités d’exécution de code à distance. Ces vulnérabilités se faisaient appelées Drupalgeddon2 et Drupalgeddon3.

Que faire pour se protéger contre cette faille de Drupal?

Les administrateurs de site web doivent absolument mettre à jour leur système de gestion de contenu vers les versions 8.6.10 ou 8.5.11 aussi tôt que possible.

Si vous ne pouvez pas installer directement la dernière mise à jour, vous pouvez atténuer la vulnérabilité en désactivant tout les modules de services web, ou en configurant votre serveur web pour qu’il n’accepte pas les requêtes PUT/PATCH/POST vers les ressources de services web. Il est cependant fortement conseillé de ne pas se contenter de mitiger le problème. La solution la plus sûre est d’installer la mise à jour

Si votre site internet a été compromis, une simple mise à jour ne sera pas suffisante car cela ne supprimerait pas les portes dérobées et le code malveillant. Pour résoudre le problème nous vous recommandons de suivre le guide Drupal.

L’année dernière, Check Point a aussi divulgué une vulnérabilité vieille de 19 ans dans le logiciel WinRAR. Cette vulnérabilité d’exécution de code à distance permet d’installer du malware sur les PC qui sont encore vulnérable.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x