Drupal-lek nog steeds misbruikt

Het CMS (content management systeem) van Drupal is een veelgebruikte tool om websites mee te bouwen, en de grote groep gebruikers maakt deze kwetsbaarheid tot een unieke kans voor cybercriminelen om snel veel geld te verdienen. De gebruikers van de getroffen systemen merken weinig van de infectie, alleen dat hun systemen langzamer draaien of dat de ventilator harder draait dan tevoren.

Patch

Voor de kwetsbaarheid, genaamd ‘CVE-2018-7602’, kwam na de ontdekking drie maanden geleden al een patch. Nu blijkt dat veel gebruikers deze nog niet hebben geïnstalleerd, melden onderzoekers van securityleverancier Trend Micro.

Volgens de onderzoekers gebruiken de aanvallers in dit specifieke geval interessante technieken. Zo verschuilen ze zich achter het Tor-netwerk om ontdekking te voorkomen. De malware die ze installeren, controleert ook of zich op het geïnfecteerde systeem al een eerdere miner actief is geweest, voordat de payload wordt geïnstalleerd via een reeks shell-scripts en uitvoeringsbestanden.

Honderden aanvalspogingen

Hiernaast gebruiken de aanvallers ook een Virtual Private Network (VPN) om hun sporen te verdoezelen, maar de onderzoekers ontdekten een gekoppeld IP-adres. Volgens hen zijn er de afgelopen periode honderden aanvalspogingen uitgevoerd vanaf dit IP-adres. Niet alle aanvallen vanaf dit IP-adres betreffen aanvallen via de Drupal-kwetsbaarheid: sommigen maakten gebruik van de 'Heartbleed'-fout.

Hoeveel systemen er in totaal zijn geïnfecteerd met behulp van de kwetsbaarheid in Drupal is niet bekend, maar de urgentie om de uitgebrachte patch te installeren is door de ontdekking van de onderzoekers van Trend Micro glashelder.