セキュリティパッチ (CVE-2018-7600、CVE-2018-7602) を欠くサイトで Drupalgeddon 攻撃続く
Drupal インスタンスの脆弱性を標的にした、Drupalgeddon 2 および Drupalgeddon 3 への最近の攻撃は、脆弱なサイトの特定とパッチの重要性を浮き彫りにしています。
背景
Drupal は 2018 年 3 月にセキュリティーに関する手引き SA-CORE-2018-002 を作成しました。この手引きでは、CVE-2018-7600 の CVE 識別子を持つ重要なリモートコード実行 (RCE) について述べられています。 Tenable のセキュリティ対応チームもブログを投稿しました。
このセキュリティに関する手引きが作成された数週間後、Check Point Software Technologies と Dofinity の研究者が「Drupalgeddon 2.0 を明らかにする」を公開し、CVE-2018-7600 の詳細について言及しました。同レポートには、Github にて概念実証 (PoC) が Github に表れ始めたことについて十分な情報が含まれていました。
その一ヵ月後、Drupal はセキュリティに関する手引き SA-CORE-2018-004 をリリースし、Drupalgeddon 3 で知られることになるもう一つ RCE 脆弱性 CVE-2018-7602 について言及しました。
Drupalgeddon の PoC コードがリリースされた後、攻撃者はこれらの脆弱性の弱点を突き、クリプトマイニングをウェブサイトに埋め込んだり (「クリプトジャッキング」と呼ばれます)、バックドアおよび、パスワードの搾取およびリモートアクセス型のトロイの木馬 (RAT) マルウェアを利用し始めました。
Drupalgeddon 2 および Drupalgeddon 3 に対するパッチが利用可能であるにも関わらず、未だにパッチされていない Drupal インスタンスがあり、サイバー犯罪者の標的になっています。
インシデントの詳細
Trustwave と Imperva は、Drupalgeddon 2 の脆弱性を利用した最近の攻撃について詳細に述べたブログ記事をそれぞれ 11 月 19 日に投稿しています。
Trustwave は、メイク・ア・ウィッシュの公式ウェブサイトで確認されたクリプトマイニングスクリプトを発見したことに関するブログを投稿し、2018 年 5 月の有名な Drupalgeddon 2 キャンペーンにリンク付けしました。
Imperva は、Drupalgeddon 2 と Dirty COW (CVE-2016-5195) の脆弱性を突いて、しつこくシステムを危険にさらす、10 月末以降のキャンペーンについてブログを投稿しました。
これらの事実には、脆弱な Drupal インスタンスを特定、標的にし、危険な状態にあるシステムに固執し続けるサイバー犯罪者の継続的な努力が反映されています。
緊急措置が必要
したがって、まだパッチされていない Drupal インスタンスを特定し、SA-CORE-2018-002 および SA-CORE-2018-004 に利用可能なパッチを即座に適用することが極めて重要です。
影響を受けているシステムの特定
Drupalgeddon に対して脆弱な資産を特定するための Nessus プラグイン一覧は、こちらからご確認いただけます。
詳細情報
- Drupal コア - SA-CORE-2018-002
- Drupal コア - SA-CORE-2018-004
- 重要な Drupal コアの脆弱性: 知っておくべきこと
- Drupalgeddon 2 を明らかにする
- メイク・ア・ウィッシュの Web サイト訪問者をクリプトジャッキング、ハッカーの願い叶う
- DirtyCOW のバグが脆弱な Drupal Web サーバーにバックドアを仕掛けられる原因に
- 脆弱な Drupal Web サイトを標的にした大規模なクリプトジャッキングキャンペーン
- GreyNoise Intelligence さんのツイート
- Drupalgeddon のクライアント側の攻撃を分析する
最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
Satnam Narang
シニアスタッフリサーチエンジニア、セキュリティリスポンス
Tenable に 2018 年に入社した Satnam は、業界で 15 年以上の経歴があり (M86 Security、Symantec)、フィッシング対策協議会のメンバーとして、全米サイバーセキュリティアライアンス (NCSA) の「SNS ガイド」の編纂に寄与したほか、Twitter では巨大なスパムのボットネットを発見し、Tinderでもスパムボットを最初に報告するなど広く活動してきました。NBC テレビの Nightly News、Entertainment Tonight、また Bloomberg West や、Why Oh Why ポッドキャストに出演しています。
プライベートの時間には... 詩作に励み、ヒップホップも作曲します。音楽は生で聴くのが好きで、3人の姪との時間が楽しみ。フットボールやバスケットボール、ボリウッド映画や音楽、グログー (ベビーヨーダ) がお気に入りです。
関連記事
Cybersecurity Snapshot: AI Security Tools Embraced by Cyber Teams, Survey Finds, as Vulnerability Research Gets a Boost from UK Cyber Agency
Check out why AI security tools are turning into “must have” assets for cyber teams. Plus, get the details on the NCSC’s efforts to supercharge its bug hunting capabilities. Meanwhile, Tenable webinar attendees shared their experience securing machine identities. And get the latest on the crypto cri...
Cybersecurity Snapshot: Experts Issue Best Practices for Migrating to Post-Quantum Cryptography and for Improving Orgs’ Cyber Culture
Check out a new roadmap for adopting quantum-resistant cryptography. Plus, find out how your company can create a better cybersecurity environment. In addition, MITRE warns about protecting critical infrastructure from cyber war. And get the latest on exposure response strategies and on CISO compens...
Cybersecurity Snapshot: CISA’s Best Cyber Advice on Securing Cloud, OT, Apps and More
In this special edition of the Cybersecurity Snapshot, we’re highlighting some of the most valuable guidance offered by the U.S. Cybersecurity and Infrastructure Security Agency in the past 12 months. Check out best practices, recommendations and insights on protecting your cloud environments, OT sy...
- Incident Response
- Threat Management
- Vulnerability Management