UZCERT

В ходе расследования выявлено, что эксплуатировалась уязвимость «CVE-2018-7600» (Drupalgeddon 2) на одном из веб-сайтов. Атака осуществлялась с IP-адреса 114.142.168.79, который принадлежит адресному пространству Индонезии. Уязвимость направлена на компрометацию веб-сайтов, разработанных с помощью контент-менеджера «Drupal». Дальнейшее изучение подтвердило, что движок разработан на устаревшей версии CMS «Drupal 7.37». Данная уязвимость позволяет проводить атаку типа «remote commands execute» (удаленное исполнение кода).


Кроме того, установлено, что еще ранее, веб-сайт уже был заражен вредоносным скриптом типа «file uploader». Использование данного «загрузчика» позволило разместить в файловой системе веб-сайта веб-шелл – «idvx2.php» (программа-оболочка, позволяющая злоумышленникам осуществлять любые действия с содержимым файловой системы, для аналогии – «Total Commander» для работы с папками и файлами).


В общей сложности, на исследуемый веб-сайт было загружено 26 вредоносных файлов. Они, в свою очередь, позволили злоумышленникам собрать всю необходимую информацию о виртуальном сервере, на котором обслуживался взломанный веб-сайт. Однако, на этом же веб-сервере обслуживалось еще более 200 веб-сайтов, в результате 83 из них оказались взломанными. Анализ данных, выявил подключение злоумышленника к серверу по «ssh»-соединению под правами администратора (пользователь «root»), об этом свидетельствует также история команд на виртуальном сервере и метаданные html-файла с сообщением о взломе.


Источник запроса – IP-адрес 114.142.169.37, который также принадлежит адресному пространству Индонезии. Это указывает на взаимосвязь всех описываемых действий злоумышленников и продолжительную подготовку к массовой загрузке постороннего контента, совершенную утром 20 ноября 2018 года.

Злоумышленник при помощи эксплуатации уязвимости «CVE-2018-7600», известной как «Drupalgeddon 2» на одном из веб-сайтов получил к нему несанкционированный доступ и загрузил в его файловую систему 26 вредоносных файлов (хакерских инструментов).

Затем при помощи загруженных на веб-сайт вредоносных программ, а также уязвимости в ядре операционной системы виртуального сервера (ставшей известной в итоге сбора информации о виртуальной машине, на которой обслуживался взломанный веб-сайт), злоумышленник получил привилегии администратора веб-сервера и запустил скрипт, который загрузил html-файл с сообщением о взломе в файловые системы других веб-сайтов, также обслуживающихся на этом сервере.