Hoe werkt het minen op deze ongepatchte Drupal websites
In februari 2019 werden diverse aanvallen gedetecteerd die de ongepatchte Drupal websites probeerden te exploiteren. Hackers gebruiken een JavaScript cryptocurrency techniek genaamd CoinIMP op de kwetsbare site implanteerde. Dit script om te minen werkt hetzelfde als de beroemde Coinhive. Hiermee is de browsers van alle sitebezoekers gebruikt om cryptocurrencies van de Monero te minen voor de hackers.
Waarom PoC-exploit ontwikkeling gunstig is voor hackers
De aanvallen begonnen op 23 februari. Drie dagen nadat Drupal de beveiligingslek CVE-2019-6340 had opgelost en twee dagen nadat de PoC-kwetsbaarheidscode op verschillende sites beschikbaar was. Imperva zei dat de honderden aanvallen die het detecteerde gebaseerd waren op de PoC exploitatie ontwikkeling. Als gevolg van dat er opnieuw is aangetoond dat de introductie van PoC-code voornamelijk de aanvaller en niet de site-eigenaar heeft geholpen.
Hackers plegen aanvallen op Drupal websites waar miners geïmplementeerd worden, hierdoor kunnen hackers echter veel cryptocurrency minen. Het Drupal Content Management System ontving vorig jaar twee patches voor Drupalgeddon 2 (CVE-2018-7600) en Drupalgeddon 3 (CVE-2018-7602). Daarnaast net als bij het incident van vorige week brachten beveiligingsonderzoekers die de twee kwetsbaarheden vorig jaar analyseerden, ook PoC-code uit waarmee tot slot aanvallers binnen enkele dagen aanvallen begonnen.
Hackers misbruiken ongepatchte Drupal websites met een JavaScript cryptocurrency techniek genaamd CoinIMP.