Plus de 115 000 sites Drupal encore vulnérables à l’exploitation de Drupalgeddon2

Des centaines de milliers de sites Web fonctionnant sur le CMS Drupal - y compris ceux des principaux établissements d’enseignement et organisations gouvernementales du monde entier - ont été jugés vulnérables à une faille très critique pour laquelle des correctifs de sécurité ont été publiés il y a presque deux mois.

Le chercheur en sécurité, Troy Mursch, a scanné tout l’Internet et a découvert que plus de 115 000 sites Web de Drupal sont toujours vulnérables à la faille Drupalgeddon2 malgré des avertissements répétitifs.

Drupalgeddon2 (CVE-2018-7600) est une vulnérabilité d’exécution de code à distance très critique découverte fin mars dans le logiciel Drupal CMS (versions <7.58 / 8.x <8.3.9 / 8.4.x <8.4.6 / 8.5.x <8.5. 1) qui pourrait permettre aux attaquants de prendre complètement en charge des sites Web vulnérables.

Pour ceux qui ne le savent pas, Drupalgeddon2 permet à un attaquant distant non authentifié d’exécuter du code malveillant sur les installations Drupal par défaut ou standard sous les privilèges de l’utilisateur.

Puisque Drupalgeddon2 avait beaucoup de potentiel pour attirer l’attention des attaquants motivés, la société a exhorté tous les administrateurs de sites Web à installer des correctifs de sécurité immédiatement après sa sortie fin mars et a décidé de ne divulguer aucun détail technique de la faille.


Cependant, les attaquants ont commencé à exploiter la vulnérabilité seulement deux semaines après la publication en ligne des détails complets et du code d’exploitation de Drupalgeddon2 , qui a été suivi par des tentatives d’exploration et d’exploitation Internet à grande échelle.

Peu de temps après, nous avons vu des attaquants développer des exploits automatisés exploitant la vulnérabilité de Drupalgeddon 2 pour injecter des mineurs de crypto-monnaie , des backdoors et d’autres logiciels malveillants dans les sites Web, quelques heures après sa diffusion publique.
Mursch a scanné Internet et a trouvé près de 500 000 sites Web sur Drupal 7, dont 115 070 utilisaient toujours une version désuète de Drupal vulnérable à Drupalgeddon2.

En analysant les sites Web vulnérables, Mursch a remarqué que des centaines d’entre eux - notamment ceux du département de la police belge, du bureau du procureur général du Colorado, de la filiale Fiat Magneti Marelli et du service de localisation des camions alimentaires - ont déjà été ciblés par une nouvelle campagne de cryptojacking.

Mursch a également trouvé des sites Web infectés dans la campagne qui avaient déjà mis à jour leurs sites à la dernière version de Drupal, mais le logiciel malveillant cryptojacking existait toujours.

Nous avertissons les utilisateurs depuis mars que si vous êtes déjà infecté par le logiciel malveillant, la simple mise à jour de votre site Drupal ne supprimera pas les "backdoors" ou ne corrigera pas les sites compromis. Pour résoudre complètement le problème, il est recommandé de suivre ce guide Drupal .

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image