Die Sicherheitsforscher von Imperva warnen aktuell erneut vor einer Angriffswelle, die sich gegen auf dem weit verbreiteten Content-Management-System (CMS) Drupal basierende Internetseiten richtet.
Übernahme von Drupal-Sites mit Drupalgeddon und Dirty Cow
Die Angreifer versuchen dabei, Zugang zu einem Root-Konto des Webservers zu bekommen. Dann installieren sie einen SSH-Client, der ihnen dann in Zukunft jederzeit den Zugriff auf den Server mit Root-Rechten erlaubt.
Der erste Versuch mit Drupalgeddon 2
Die Cyberkriminellen setzen dabei auf zwei schon länger bekannte Exploits und greifen Websites an, die noch eine veraltete Version von Drupal nutzen und nicht gegen Angriffe auf die schon vor über einem halben Jahr im März veröffentlichte Schwachstelle Drupalgeddon 2 geschützt sind. Wer vernünftige Wartung betrieben und alle Updates immer eingespielt hat, braucht sich wegen der aktuell laufenden Angriffswelle keine Gedanken machen.
Wenn sie eine solche noch ungeschützte Seite finden, nutzen sie Drupalgeddon 2 als Startpunkt ihres Angriffs. Damit suchen die Hacker in der lokalen Drupal-Konfiguration nach den Anmeldedaten für die Datenbank.
Der zweite Versuch mit Dirty Cow
Finden sie dabei die Login-Daten für ein Root-Konto, versuchen sie, sich mit den gefundenen Zugangsdaten auch beim Webserver anzumelden. Wenn diese Methode nicht funktioniert, kommt Dirty Cow dann als zweiter Exploit zum Einsatz.
Dirty Cow wurde schon 2016 zum ersten Mal beschrieben. Die dem Exploit zugrunde liegende Schwachstelle gestattet es einem Angreifer, seine Benutzerrechte auszuweiten und sich die Rechte eines Root-Users anzueignen. Die Root-Rechte benötigen die Angreifer ja, um einen SSH-Client einzurichten über den sie die Kontrolle über den Server übernehmen.
Das letztliche Ziel der Angriffe ist noch nicht bekannt
Warum genau die unbekannten Täter die Kontrolle über die Server gewinnen wollen, ist noch nicht wirklich bekannt. Nach Angaben von Imperva wurden die inzwischen untersuchten Angriffe durchgehend von einer Web-Firewall des Unternehmens abgewehrt. Normalerweise versuchen Hacker In ähnlichen Fällen häufig eine Crypto-Mining-Malware zu installieren.
Obwohl Imperva bisher nur einige Dutzend Angriffe entdeckt hat, geht das Sicherheitsunternehmen davon aus, dass sich die Angriffe noch ausweiten werden. Auf vielen Web-Servern laufe ja schon ein SSH-Daemon, was den Hackern die Übernahme eines Root-Accounts ersparen könnte.
Außerdem kritisierte ein Threat Analytics Manager bei Imperva, dass auch mehrere Monate nach der Veröffentlichung von absichernden Patches gegen die Exploits Drupalgeddon 2 und Dirty Cow eine zu große Zahl von Webservern immer noch angreifbar sei. „Angesichts des lethargischen Tempos beim Patchen, der Schwere der Schwachstellen und der Tatsache, dass viele der Hacking-Tools diesen Angriff integriert haben, führt dies zu einer großen Anzahl von Angriffen“, ergänzte der Sicherheitsspezialist. „Noch heute ist Drupalgeddon einer der beliebtesten Angriffsvektoren, die Hacker verwenden wollen.“
[…] mit der Bezeichnung Dirty Cow, die in letzter Zeit auch für Angriffe auf Android und auf Drupal-Websites benutzt wurde und einen Root-Zugriff […]