Faille Drupal : les cybercriminels tardent, mais ne ratent pas le coche

Surnommé « Drupalgeddon 2 » par plusieurs entreprises de sécurité, la faille CVE-2018-7600 inquiète les administrateurs de site utilisant le CMS Drupal. Cette faille permet en effet à des cybercriminels d’exécuter du code malveillant sur une machine vulnérable.

Un correctif avait été publié à la fin du mois de mars par Drupal, mais les mainteneurs du projet avaient prévenu la communauté quelques jours à l’avance afin d’attirer l’attention sur cette faille critique et l’importance du correctif. Cette simple alerte a néanmoins suffi à attiser les craintes, ranimant la possibilité d’un « drupalgeddon », du nom de cette faille de 2014 qui affectait Drupal et avait été massivement été exploitée par les cybercriminels.

 

L’exploitation qui vient

On s’attendait donc à une nouvelle campagne d’exploitation de cette faille de sécurité dont un proof of concept a été publié sur le web, facilitant sa récupération et son exploitation par les cybercriminels. Mais comme le signalent plusieurs entreprises de sécurité, celle-ci s’est fait désirer : « Depuis le 28 mars, date à laquelle Drupal a publié un patch correctif pour une faille baptisée Drupalgeddon 2.0, Imperva surveille notre cloud afin de repérer les tentatives des hackers qui souhaiteraient exploiter cette faille, mais n’a rien trouvé, jusqu’à aujourd’hui » explique ainsi Imperva dans son communiqué.

Les chercheurs s’expliquent en effet assez surpris du délai (deux semaines) entre la publication du correctif de la faille et les premières tentatives d’exploitation. Il aura fallu qu’un internaute publie sur Github son proof of concept issu de ses recherches pour voir les premières attaques exploitant celui-ci apparaître. Pour Imperva, les attaquants font ici preuve d’une certaine paresse et préfèrent attendre de récupérer le travail d’autres plutôt que de développer leurs propres exploits.

Comme le montre les statistiques avancées par Imperva, l’essentiel des attaques exploitant cette faille étaient jusqu’alors de simples scans visant à déterminer si la cible était vulnérable ou non. Mais la tendance commence à s’inverser en ce début de semaine et plusieurs entreprises de sécurité expliquent avoir constaté que des cybercriminels avaient entrepris de diffuser des malwares en exploitant cette faille : la tendance reste tenue, mais elle est suffisamment inquiétante pour que le Cert Fr mette à jour son avertissement afin de signaler ces activités.

« Le 12 avril 2018, une preuve de concept exploitant la vulnérabilité CVE-2018-7600 a été publiée publiquement sur Github. Depuis, le CERT-FR constate des tentatives d’exploitation » écrit le Cert-FR dans sa note, indiquant au passage avoir rouvert l’alerte concernant cette faille de sécurité afin d’attirer l’attention sur ce sujet.

Mieux vaut tard que jamais ?

Comme le rapportent les sociétés Qihoo 360 et GreyNoise, plusieurs botnets connus pour leurs activités criminelles ont également commencé à scanner les sites Drupal pour cette vulnérabilité précise, montrant que celle-ci commence à être intégrée au sein des outils des cybercriminels. La société Volexity explique que la plupart des attaquants tentent d’installer un malware de cryptominage sur les machines vulnérables (une technique très à la mode auprès des cybercriminels), mais Imperva mentionne également des attaques visant à installer une porte dérobée sur les serveurs visés.

Les administrateurs de sites Drupal ont donc pu bénéficier d’une trêve inattendue pour corriger les failles, mais les cybercriminels commencent à rattraper leur retard. Les versions de Drupal affectées par la faille sont les versions 6,7 et 8. Des correctifs sont disponibles chez Drupal pour ces différentes branches et l’équipe invite les administrateurs à maintenir leurs sites à jour afin d’éviter d’être la cible de ce type d’attaque.

Go to Source


bouton-devis