Drupal a rischio cryptojacking

Nelle scorse settimane alcuni ricercatori hanno evidenziato la presenza di nuova nuove vulnerabilità critiche a carico di Drupal, il noto CMS open source.

Il bug di sicurezza è stato etichettato come CVE-2019-6340 e nello specifico si tratta di una remote-code-execution flaw, originata dall’assenza di un controllo appropriato dei dati provenienti da RESTful Web services.

Esso consente l’esecuzione da remoto di codice malevolo all’interno di un Web server che ospita Drupal. Gli sviluppatori del CMS hanno dunque invitato tutti gli amministratori dei si Web animati dall’applicazione ad aggiornare la propria installazione al più presto, è stato infatti già distribuito un nuovo hotfix di sicurezza.

Nel dettaglio la vulnerabilità è presente nelle installazioni di Drupal 8 core con il modulo RESTful Web Services abilitato. Inoltre i siti che usano altri moduli Web services come JSON:API, o che sfruttano versioni più datate di Drupal, sono ugualmente a rischio.

Il team di Ambionics Security ha però esaminato nel dettaglio il bug, scoprendo che la patch fornita dal team di Drupal non risolve il problema:

“Usando la patch rilasciata da Drupal siamo comunque riusciti a realizzare un exploit di codice funzionante. Abbiamo quindi scoperto che tale patch era incompleta e che di fatto non risolve nulla”

L’esecuzione del codice da remoto sarebbe sfruttabile tramite una richiesta via GET operata senza nessuna forma di autenticazione, anche se le richieste POST/PATCH sono disabilitate nella REST configuration. L’unica soluzione dunque è attendere una nuova patch e nel frattempo sarebbe auspicabile disattivare il modulo REST.

In questi giorni un’altra agenzia di sicurezza informatica, Imperva, ha rilevato diversi attacchi che sfruttano proprio tale vulnerabilità.

Nello specifico si tratta di tentativi di code injection di script JavaScript che hanno l’obbiettivo di eseguire delle operazioni di cryptojacking.

Dunque gli utenti che si ritrovavano a navigare sui siti Web colpi da tale attacco potrebbero eseguire il download, a loro insaputa, di un tool per il mining di criptovalute che verrebbe attivato in backgroud senza notificare nulla all’utente.

Inoltre i ricercatori di Imperva hanno rilevato che tali script tentano di installare anche un tool di upload per caricare in remoto dei file presenti sul disco dell’utente. Si tratta quindi di una falla veramente pericolosa che probabilmente ha già portato al successo di numerosi attacchi non segnalati o non ancora scoperti.

Via Ambionics Security