Ένα ελάττωμα ασφαλείας, που patch-αρίστηκε στις 13 Ιουλίου, σε βασικές ενότητες που είναι ενσωματωμένες στο Drupal CMS αποτέλεσε αντικείμενο εκμετάλλευσης σε live επιθέσεις, σύμφωνα με τον Johannes Ullrich της SANS Internet Storm Center.
Ο Ullrich λέει ότι, κατά τους τελευταίους δύο μήνες, honeypot διακομιστές εγκαταστάθηκαν παντού στο Διαδίκτυο, οι οποίοι άρχισαν να αντιλαμβάνονται σαρώσεις που εξετάζουν, εάν οι Drupal εγκαταστάσεις τρέχουν παλαιότερες εκδόσεις ενός συγκεκριμένου module και παράλληλα προσπαθούν να εκμεταλλευτούν τα ελαττώματα που ανακαλύπτουν.
Τα ζητήματα που σαρώνουν βρίσκονται σε ένα RESTful Web Services (RESTWS) module ενσωματωμένο στις Drupal 7.x εγκαταστάσεις. Σύμφωνα με ένα advisory που κυκλοφόρησε από την Drupal ομάδα, όλες οι εκδόσεις αυτής της ενότητας πριν τις 7.x-2.6 και 7.x-1.7 (οι patched εκδόσεις) επιτρέπουν σε έναν εισβολέα να εκτελέσει εντολές στον υποκείμενο web server έχοντας πρόσβαση σε ένα URL με ειδικές παραμέτρους .
Αυτά τα URLs με την μη τυποποιημένη μορφή είναι εκείνα που έπιασε ο Ullrich με τα honeypots του.
“Μέχρι στιγμής στο honeypot μας, έχουμε πιάσει 44 απόπειρες μόνο σήμερα από 16 διαφορετικές διευθύνσεις IP”, αποκάλυψε ο Ullrich. “Οι προσπάθειες για exploit φτάνουν μέχρι τον Ιούλιο, αμέσως μετά την ευπάθεια που είχε ανακοινωθεί.”
Άλλες ευπάθειες σε άλλες βασικές ενότητες του Drupal κυκλοφόρησαν στα μέσα Ιουλίου, μαζί με αυτή. Είναι πολύ πιθανό ότι το ότι βλέπουμε προσπάθειες εκμετάλλευσης αυτή τη στιγμή, συμβαίνει ακριβώς επειδή οι ερευνητές ασφαλείας κυκλοφόρησαν proof-of-concept exploit κώδικα για την RESTWS module ευπάθεια.
Επιπλέον, ο Ullrich έριξε και μια ματιά στις διευθύνσεις IP από τις οποίες προέρχονταν οι προσπάθειες εκμετάλλευσης. Μια γρήγορη αναζήτηση αποκάλυψε ότι αυτά τα requests προέρχονταν από τους web hosting διακομιστές άλλων δικτυακών τόπων του DrupaΙ.
Οι άνθρωποι πίσω από αυτές τις σαρώσεις, χακάρουν unpatched Drupal εγκαταστάσεις και στη συνέχεια, χρησιμοποιούν αυτούς τους διακομιστές για να εισβάλουν σε άλλες ιστοσελίδες, χωρίς να αποκαλύψουν τις πραγματικές τους IP.
Τέλος, ο Ullrich παρατήρησε και κάτι άλλο παράξενο. Οι εκτεθειμένες ιστοσελίδες δεν φιλοξενούν κακόβουλο λογισμικό, ψεύτικες διαφημίσεις ή pharma spam. Προς το παρόν, φαίνεται ότι οι απατεώνες χτίζουν αργά και σταθερά το botnet τους, χωρίς να δίνουν ενδείξεις για την παρουσία τους στις μολυσμένες ιστοσελίδες.
