Drupal漏洞（CNNVD-201804-1490、CVE-2018-7602）被利用來傳播門羅幣 - 網安

趨勢科技在上周發表的博客文章中指出，其安全團隊最近觀察到一系列利用CNNVD-201804-1490（CVE-2018-7602）開展的網絡攻擊，這是Drupal內容管理框架中的一個安全漏洞。目前，這些攻擊旨在將受影響的系統變成門羅幣挖礦bot。值得注意的是攻擊隱藏在Tor網絡后面以逃避檢測的方式，以及如何在用加密貨幣挖掘惡意軟件感染目標系統之前首先完成對系統的檢查。雖然這些攻擊目前只提供了資源竊取和導致系統性能降低的惡意軟件，但該漏洞也可用作其他威脅的入口。 什么是CVE-2018-7602？ CNNVD-201804-1490（CVE-2018-7602）是影響Drupal的版本7和版本8一個遠程代碼執行（RCE）漏洞，該漏洞在2018年4月25日被修復。它是在Drupal的安全團隊觀察到另一個漏洞后發現的，CNNVD-201803-1136（ CVE-2018-7600）（也被稱為 Drupalgeddon 2，在2018年3月28日被修復）。Drupal的安全團隊還報告稱，CNNVD-201804-1490（CVE-2018-7602）正在被廣泛利用。根據一名研究人員的技術分析，成功利用漏洞需要提升修改或刪除Drupal運行網站內容的權限。 這個漏洞如何傳播門羅幣礦工？ 如圖1和圖2所示，我們看到利用CNNVD-201804-1490（CVE-2018-7602）的攻擊下載了一個shell腳本，該腳本隨后將檢索一個基于可執行和可鏈接格式（ELF）的下載程序（由趨勢科技檢測為ELF_DLOADR.DHG）。下載器將添加一個 crontab條目（在基于unix的系統中，它包含要執行的命令）來自動更新自身。在本例中，命令是檢查從它下載的鏈接，并解釋一個名為 up.jpg的腳本，該腳本偽裝成JPEG文件。基于ELF的下載程序還會檢索門羅幣挖掘惡意軟件（COINMINER_TOOLXMR.O-ELF64），并將其安裝到受影響的設備上。

圖1：顯示如何利用CVE-2018-7602的代碼片段

圖2：顯示如何檢索shell腳本的代碼片段 是什么使這些攻擊值得注意？ 下載器使用HTTP 1.0 POST方法在 SEND_DATA()函數中返回數據。POST方法的目標路徑是 /drupal/df.php。在這些類型的攻擊中，HTTP 1.0流量非常少見，因為許多組織的大多數HTTP流量已經在HTTP 1.1或更高版本中。鑒于這種看似不一致的情況，我們可以預見這是未來攻擊的一種模式。安裝在設備上的門羅幣礦工是開源的XMRig（版本2.6.3）。它還會檢查設備是否被損壞。當礦工開始運行時，它將其進程名稱更改為[^ $ I $ ^]并訪問文件/tmp/dvir.pid。這種暗地里進行的行為，攻擊者/操作人員在其修改版本的XMRig中添加了這種行為。管理員或信息安全專業人員可以考慮將其作為識別惡意活動的一個標記，例如部署基于主機的入侵檢測和預防系統或執行取證時。 這些攻擊來自哪里？ 這些攻擊是值得注意的，因為它們采取的防范措施是隱藏在Tor網絡后面。這使得趨勢科技能夠追蹤惡意軟件的蹤跡到197[.]231[.]221[.]211。基于WhoIs信息，IP段197[.]231[.]221[.]0[/]24似乎屬于虛擬專用網絡（VPN）提供商。另外，趨勢科技還發現IP地址是一個Tor出口節點——將加密的Tor流量傳遞到常規的互聯網流量的網關。事實上，在過去一個月里，趨勢科技已經阻止了來自此IP地址的810次攻擊。鑒于它是一個Tor出口節點，趨勢科技表示他們無法確定這些攻擊是與門羅幣挖掘有效載荷相關，還是來自單個威脅參與者。來自此IP地址的大量攻擊都利用了Heartbleed（CNNVD-201804-073、CVE-2014-0160）。研究人員觀察到其他攻擊利用了ShellShock（CNNVD-201409-938、CVE-2014-6271），WEB GoAhead的一個信息泄露漏洞（CNNVD-201703-533、CVE-2017-5674），以及Apache的內存泄漏漏洞（CMMVD-200403-137、CVE-2004-0113）。趨勢科技還阻止來自此IP地址的文件傳輸協議（FTP）和安全外殼（SSH）蠻力登錄。請注意，這些攻擊甚至利用了舊的Linux或基于Unix的漏洞，強調了縱深防御的重要性。對于那些Web應用程序和網站（如使用Drupal的網站）來管理敏感數據和交易的企業來說，情況尤其如此。即使是一個可以追溯到2014年的安全漏洞，也可以作為攻擊者的切入點。 如何抵御這種威脅？ 修補和更新Drupal內核可修復此威脅所利用的漏洞。Drupal的安全公告提供了修復漏洞的指導方針，特別是那些仍然使用不受支持版本的Drupal的用戶。開發人員，以及系統管理員和信息安全專業人員也應該通過設計實踐安全性：確保存儲和管理個人和企業數據的應用程序的安全性，同時確保其易用性和功能性。網站或應用程序中的單個漏洞可能導致數據泄露或中斷。組織可以通過縱深防御來進一步阻止類似威脅：執行最小特權原則并添加多個安全層，例如虛擬補丁、防火墻、入侵檢測和預防系統，以及應用程序控制和行為監控。來源：黑客視界