セキュリティパッチ (CVE-2018-7600、CVE-2018-7602) を欠くサイトで Drupalgeddon 攻撃続く

Drupal インスタンスの脆弱性を標的にした、Drupalgeddon 2 および Drupalgeddon 3 への最近の攻撃は、脆弱なサイトの特定とパッチの重要性を浮き彫りにしています。

背景

Drupal は 2018 年 3 月にセキュリティーに関する手引き SA-CORE-2018-002 を作成しました。この手引きでは、CVE-2018-7600 の CVE 識別子を持つ重要なリモートコード実行 (RCE) について述べられています。 Tenable のセキュリティ対応チームもブログを投稿しました。

このセキュリティに関する手引きが作成された数週間後、Check Point Software Technologies と Dofinity の研究者が「Drupalgeddon 2.0 を明らかにする」を公開し、CVE-2018-7600 の詳細について言及しました。同レポートには、Github にて概念実証 (PoC) が Github に表れ始めたことについて十分な情報が含まれていました。

その一ヵ月後、Drupal はセキュリティに関する手引き SA-CORE-2018-004 をリリースし、Drupalgeddon 3 で知られることになるもう一つ RCE 脆弱性 CVE-2018-7602 について言及しました。

Drupalgeddon の PoC コードがリリースされた後、攻撃者はこれらの脆弱性の弱点を突き、クリプトマイニングをウェブサイトに埋め込んだり (「クリプトジャッキング」と呼ばれます)、バックドアおよび、パスワードの搾取およびリモートアクセス型のトロイの木馬 (RAT) マルウェアを利用し始めました。

Drupalgeddon 2 および Drupalgeddon 3 に対するパッチが利用可能であるにも関わらず、未だにパッチされていない Drupal インスタンスがあり、サイバー犯罪者の標的になっています。

インシデントの詳細

Trustwave と Imperva は、Drupalgeddon 2 の脆弱性を利用した最近の攻撃について詳細に述べたブログ記事をそれぞれ 11 月 19 日に投稿しています。

Trustwave は、メイク・ア・ウィッシュの公式ウェブサイトで確認されたクリプトマイニングスクリプトを発見したことに関するブログを投稿し、2018 年 5 月の有名な Drupalgeddon 2 キャンペーンにリンク付けしました。

Imperva は、Drupalgeddon 2 と Dirty COW (CVE-2016-5195) の脆弱性を突いて、しつこくシステムを危険にさらす、10 月末以降のキャンペーンについてブログを投稿しました。

これらの事実には、脆弱な Drupal インスタンスを特定、標的にし、危険な状態にあるシステムに固執し続けるサイバー犯罪者の継続的な努力が反映されています。

緊急措置が必要

したがって、まだパッチされていない Drupal インスタンスを特定し、SA-CORE-2018-002 および SA-CORE-2018-004 に利用可能なパッチを即座に適用することが極めて重要です。

影響を受けているシステムの特定

Drupalgeddon に対して脆弱な資産を特定するための Nessus プラグイン一覧は、こちらからご確認いただけます。

詳細情報

• Drupal コア - SA-CORE-2018-002
• Drupal コア - SA-CORE-2018-004
• 重要な Drupal コアの脆弱性: 知っておくべきこと
• Drupalgeddon 2 を明らかにする
• メイク・ア・ウィッシュの Web サイト訪問者をクリプトジャッキング、ハッカーの願い叶う
• DirtyCOW のバグが脆弱な Drupal Web サーバーにバックドアを仕掛けられる原因に
• 脆弱な Drupal Web サイトを標的にした大規模なクリプトジャッキングキャンペーン
• GreyNoise Intelligence さんのツイート
• Drupalgeddon のクライアント側の攻撃を分析する

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。