Los ciberdelincuentes han comenzado a explotar de forma activa una vulnerabilidad de seguridad ya parcheada para instalar mineros de criptomonedas en sitios web vulnerables de Drupal que aún no han aplicado parches y aún son vulnerables.
La semana pasada, los desarrolladores del popular sistema de gestión de contenido de código abierto Drupal parcharon una vulnerabilidad de ejecución remota de código (RCE) crítica (CVE-2019-6340) en Drupal Core que podría permitir a los atacantes piratear sitios web afectados.
A pesar de no revelar detalles técnicos de la vulnerabilidad de seguridad, el código de vulnerabilidad de prueba de concepto (PoC) para la vulnerabilidad se hizo público en Internet solo dos días después de que el equipo de seguridad de Drupal implementara la versión parcheada de su software.
Ahora, los investigadores de seguridad del proveedor de seguridad del centro de datos Imperva descubrieron una serie de ataques, que comenzaron apenas un día después de que el código de explotación se hiciera público, contra los sitios web de sus clientes que utilizan una vulnerabilidad que aprovecha la falla de seguridad CVE-2019-6340 .
Los ataques originados por varios atacantes y países han descubierto que los sitios web de Drupal son vulnerables, incluidos sitios en el gobierno y la industria de servicios financieros, que aún son vulnerables a la vulnerabilidad del Drupal Core recientemente reparada.
Según los investigadores, los ataques comenzaron el 23 de febrero, solo tres días después de que los desarrolladores de Drupal repararan la vulnerabilidad e intentaran inyectar un minero de criptomoneda de JavaScript llamado CoinIMP en los sitios web de Drupal vulnerables para explotar las criptomonedas Monero y Webchain para los atacantes.
Al igual que el infame servicio CoinHive, CoinIMP es un script de minería de datos de criptomoneda que los atacantes inyectaron en el archivo index.php de los sitios web vulnerables de Drupal para que los visitantes del sitio ejecuten el script de minería y la criptomoneda de la mina cuando navegan por la página principal.
Esta no es la primera vez que vemos atacantes dirigidos a sitios web vulnerables de Drupal que explotan una vulnerabilidad recientemente parcheada.
El año pasado, los atacantes apuntaron a cientos de miles de sitios web de Drupal en ataques masivos utilizando las explotaciones salvajes que aprovechan dos vulnerabilidades críticas de ejecución remota de código, que se denominaron Drupalgeddon2 y Drupalgeddon3 .
También en ese caso, los ataques comenzaron después de que los investigadores de seguridad lanzaron el código de explotación PoC para las vulnerabilidades Drupalgeddon2 y Drupalgeddon3 en Internet, que luego fue seguido por intentos de exploración y explotación de Internet a gran escala.
Al notificarle el último lanzamiento de Drupal la semana pasada que abordó esta vulnerabilidad crítica de ejecución remota de código, The Hacker News también advirtió a sus lectores sobre cuán populares son los ataques de Drupal entre los piratas informáticos y que necesita actualizar su CMS lo antes posible.
Ya que es mejor tarde que nunca, los administradores de sitios que todavía ejecutan versiones vulnerables de Drupal son muy recomendables para parchear la vulnerabilidad actualizando su CMS a Drupal 8.6.10 o Drupal 8.5.11 tan pronto como sea posible para evitar las vulnerabilidades.
Sin embargo, si su sitio web ya ha sido comprometido, simplemente actualizar su sitio web de Drupal no eliminaría el «código de puertas traseras o malware». Para resolver completamente el problema, se recomienda seguir la guía de Drupal .
La semana pasada, Check Point también reveló una Vulnerabilidad de RCE de 19 años en el popular software WinRAR, que también se ha encontrado que explota activamente en la naturaleza para instalar malware en computadoras que aún ejecutan la versión vulnerable del software.
Fuente: Thehackernews.com
