示意圖,與新聞事件無關。

安全公司Net360 Labs上周發現架站軟體Drupal的漏洞遭到感染Linux伺服器及物聯網裝置的殭屍網路攻擊,散佈挖礦程式或發動DDoS。

研究人員4月中發現Drupal編號為CVE- 2018-7600的漏洞出現大量掃瞄行為。這項漏洞早在3月底已經有修補程式,它存在於多個版本的Drupal中, 可讓攻擊者存取伺服器的URL,注入攻擊程式碼, 以完全接管伺服器,該漏洞也被稱為Drupalgaddon2。

研究人員自4月初發現Drupalgaddon2被掃瞄次數大量增加,研判至少遭遇3組惡意程式利用該漏洞散佈。 其中一個為殭屍網路惡意程式。研究人員以其二進位檔名及通訊IRC通道發現到的名稱而稱之為Muhstik。

Muhstik屬於Tsunami的變種,後者從2011年起開始散佈感染上萬Unix與Linux伺服器, 對外發動分散式阻斷攻擊(DDoS)。研究顯示,Muhstik會運用10多台C&C IP散佈,其中許多來自執行Drupal的伺服器,用以散佈7種攻擊工具,其中以發動DDoS或是在受害的伺服器上安裝XMRig及CGMiner來謀利,後兩者分別是Monero及Dash加密貨幣的挖礦程式。

研究人員指出,Muhstik存在許久,使其開採的漏洞眾多,Drupalgaddon2只是其中之一。一如Tsunami的殭屍網路特性,Muhstik會在受害機器下載掃瞄模組, 這個模組能掃瞄連網機器傳輸埠, 尋找其他有漏洞而未修補的伺服器軟體,以便用不同工具開採後遠端控制或接收回報訊息。

總計它掃瞄的傳輸埠包括80、8080、 7001、及2004,使得除了Drupal外,Webdav、 WebLogic、Webuzo、WordPress等伺服器都成為其目標,藉此在網路上散佈。Net 360 Labs下的GreyNoise Intelligence另外也發佈WebLogic伺服器漏洞開採行為有大量增加的跡象。

GreyNoise has detected a sharp increase in opportunistic exploitation of Oracle WebLogic Server, specifically CVE-2017-10271.

~1,200 devices have suddenly started broadly exploiting this vulnerability by issuing exploit requests to the "/wls-wsat/CoordinatorPortType" URL.

— GreyNoise Intelligence (@GreyNoiseIO) 2018年4月18日

 

Drupal維護機構已經修補存在6.x到8.x版的漏洞, 因此管理員應儘速安裝修補程式以免受害。



Advertisement

更多 iThome相關內容