Drupalgeddon2 Dimanfaatkan Peretas Menyebarkan Malware dan Menambang Cryptocurrency

Drupalgeddon2, peretasan website berbasis Drupal. Drupalgeddon2, peretasan website berbasis Drupal.

Berdasarkan data resmi pada website Drupal bagian showcases, terdapat lebih dari 1 juta website di dunia yang menggunakan CMS tersebut. RedHat dan University of Colorado adalah salah satu diantaranya. Kini, para admin yang menggunakannya harus berpacu dengan waktu sebelum website-nya dibajak oleh para peretas.

Website ber-CMS Drupal kebanyakan digunakan pada situs-situs yang memiliki trafik tinggi namun meski demikian penggunaannya masih kalah populer dibandingkan WordPress dan Joomla.

Terkait Drupalgeddon2, informasi yang dipublikasikan pada National Vulnerability Databases yang dikelola oleh pemerintah Amerika Serikat lewat NIST yang bersandi CVE-2018-6700 menyebutkan bahwa seorang penyerang luar dapat mengeksekusi sembarang kode apabila serangannya berhasil.

Sampai artikel ini ditulis, NIST masih menganalisis kelemahan tersebut. Namun dijelaskan secara umum bahwa kelemahan tersebut diakibatkan oleh sebuah masalah yang mempengaruhi beberapa sub-sistem terkait penerapan konfigurasi modul bawaan dan yang biasa digunakan.

Versi Drupal yang dieksploitasi yaitu sebelum 7.58, untuk 8.x sebelum 8.3.9, untuk 8.4.x sebelum 8.4.6, dan untuk 8.5.x sebelum 8.5.1.

Seperti yang ditulis oleh Eduard Covacs pada laman Securityweek.com, para penyerang mulai memasang backdoor dan malware pada server yang berhasil dibajak. Selain itu, berdasarkan SANS Internet Storm Center, para penyerang telah memasang penambang cryptocurrency yang memanfaatkan sumber daya CPU pada server-server tersebut.

Covacs juga melaporkan bahwa berdasarkan data dari Imperva terdapat 90% aktivitas pemindaian website-website berbasis Drupal dengan 3%-nya sudah terpasang backdoor dan 2% penambang. Kebanyakan serangan berasal dari Amerika Serikat (53%) dan lainnya adalah dari RRC (45%).

Para periset di Volexity telah memonitor serangan Drupalgeddon2 dan menemukan tautan dengan kelompok penyerang siber yang melakukan serangan tahun lalu dengan mengeksploitasi kelemahan Oracle WebLogic Server (CVE-2017-10271) dan menginfeksi sistem dengan malware cryptocurrency.

Berdasarkan banyaknya upaya untuk menjebol website berbasis Drupal, para periset SANS dan Sucuri memperingatkan para pengguna bahwa website mereka kemungkinan sudah dibajak apabila mereka belum menambal celah tersebut dengan update terbaru.

Penasaran dengan kode exploit yang digunakan oleh para penyerang? berikut merupakan kode yang dirilis oleh Exploit-db.com dalam kerangka Metasploit:

Sumber: Drupal.com, Securityweek.com, NIST.gov, Exploit-db.com.

Facebook Comments