PoC-код для уязвимости в Drupal активно используется в атаках на сайты

Злоумышленники активно атакуют сайты на базе CMS Drupal с целью внедрения программ для майнинга криптовалюты. В рамках атак преступники эксплуатируют критическую уязвимость CVE-2019-6340 в Drupal, которую разработчики исправили на прошлой неделе.

По данным специалистов Imperva, атаки начались 23 февраля – спустя всего три дня после выпуска патча и публикации PoC-кодов для данной уязвимости на различных сайтах. Эксперты зафиксировали сотни атак, в рамках которых киберпреступники использовали один из PoC-кодов для компрометации непропатченных сайтов на Drupal и внедрения JavaScript криптомайнера CoinIMP, предназначенного для добычи Monero.

Как показывает практика, злоумышленники не теряют времени и сразу добавляют опасные уязвимости в Drupal в свой арсенал. К примеру, в прошлом году киберпреступники взломали значительное количество сайтов на Drupal с помощью уязвимостей Drupalgeddon2 и Drupalgeddon3 и использовали их для распространения вредоносного ПО, майнеров криптовалюты или в мошеннических схемах.

В то время как уязвимости Drupalgeddon 2 и Drupalgeddon 3 затрагивали подавляющее большинство сайтов на Drupal (примерно 1,2 млн), CVE-2019-6340 подвержена только версия Drupal 8, которую используют не так много ресурсов – порядка 63 тыс. Учитывая, что проблема проявляется при использовании определенных модулей, число уязвимых сайтов может быть значительно меньше, считают специалисты.