Los ciberdelincuentes han comenzado activamente a explotar una vulnerabilidad de seguridad ya parcheada para instalar mineros de criptomonedas en sitios web vulnerables de Drupal que aún no han aplicado parches y aún son vulnerables.
La semana pasada, los desarrolladores del popular sistema de administración de contenido de código abierto Drupal parchearon una vulnerabilidad crítica de ejecución remota de código (RCE) (CVE-2019-6340) en Drupal Core que podría permitir a los atacantes piratear los sitios web afectados.
A pesar de no publicar detalles técnicos de la vulnerabilidad de seguridad, el código de explotación de prueba de concepto (PoC) para la vulnerabilidad se puso a disposición del público en Internet solo dos días después de que el equipo de seguridad de Drupal lanzara la versión parcheada de su software.
Ahora, los investigadores de seguridad del proveedor de seguridad del centro de datos Imperva descubrieron una serie de ataques, que comenzaron solo un día después de que el código de explotación se hizo público, contra los sitios web de sus clientes utilizando una vulnerabilidad que aprovecha la falla de seguridad CVE-2019-6340.
Los ataques se originaron en varios atacantes y países que se han encontrado dirigidos a sitios web vulnerables de Drupal, incluidos sitios gubernamentales y de la industria de servicios financieros, que aún son vulnerables a la vulnerabilidad Drupal Core recientemente parcheada.
Según los investigadores, los ataques comenzaron el 23 de febrero, solo tres días después de que los desarrolladores de Drupal repararan la vulnerabilidad e intentaran inyectar un minero de criptomonedas JavaScript llamado CoinIMP en los sitios web vulnerables de Drupal para extraer criptomonedas Monero y Webchain para los atacantes.
Similar al infame servicio CoinHive, CoinIMP es un script de minería de criptomonedas basado en navegador que los atacantes inyectan en el archivo index.php de los sitios web vulnerables de Drupal para que los visitantes del sitio ejecuten el script de minería y extraigan criptomonedas cuando naveguen por la página principal del sitio.
Esta no es la primera vez que vimos atacantes apuntando a sitios web vulnerables de Drupal que explotan una vulnerabilidad parcheada recientemente.
El año pasado, los atacantes se dirigieron a cientos de miles de sitios web de Drupal en ataques masivos utilizando exploits salvajes que aprovecharon dos vulnerabilidades críticas separadas de ejecución remota de código, que se denominaron Drupalgeddon2 y Drupalgeddon3.
También en ese caso, los ataques comenzaron después de que los investigadores de seguridad publicaran un código de explotación de PoC para las vulnerabilidades Drupalgeddon2 y Drupalgeddon3 en Internet, que luego fue seguido por intentos de explotación y escaneo de Internet a gran escala.
Al informarle sobre el último lanzamiento de Drupal la semana pasada que abordó esta vulnerabilidad crítica de ejecución remota de código, The Hacker News también advirtió a sus lectores sobre cuán populares son las vulnerabilidades de Drupal entre los piratas informáticos y que necesita actualizar su CMS lo antes posible.
Dado que es mejor tarde que nunca, se recomienda encarecidamente a los administradores de sitios que todavía ejecutan versiones vulnerables de Drupal que corrijan la vulnerabilidad actualizando su CMS a Drupal 8.6.10 o Drupal 8.5.11 lo antes posible para evitar vulnerabilidades.
Sin embargo, si su sitio web ya se ha visto comprometido, simplemente actualizar su sitio web de Drupal no eliminará las «puertas traseras o el código de malware». Para resolver completamente el problema, se recomienda seguir la guía de Drupal.
La semana pasada, Check Point también reveló una vulnerabilidad RCE de 19 años en el popular software WinRAR, que también se descubrió explotando activamente para instalar malware en computadoras que aún ejecutan la versión vulnerable del software.
