Attacchi in corso verso Microsoft IIS 6.0 e il CMS Drupal

18/04/2018

CMS Drupal IIS Microsoft

Il monitoraggio delle nostre fonti evidenzia casi di sfruttamento di vulnerabilità note ai danni di Microsoft IIS 6.0 e del CMS Drupal.

 

Microsoft IIS 6.0

I ricercatori di F5 Networks hanno di recente identificato campagne di attacco volte a sfruttare vulnerabilità di Microsoft Internet Information Services (IIS) 6.0 per profitto e, nello specifico, per generare criptovaluta Electroneum.
 
La vulnerabilità che si tenta di sfruttare è legata ad un’errata gestione degli oggetti in memoria da parte del protocollo WebDAV e potrebbe consentire a un utente malintenzionato di eseguire codice arbitrario sul sistema affetto. Un attaccante in grado di sfruttare questa vulnerabilità può ottenere gli stessi diritti dell’utente corrente. La vulnerabilità a cui è assegnato il CVE–2017–7269 ha impatto su IIS 6.0 installato su Microsoft Windows Server 2003 (inclusa la versione R2).
 
Questa nuova campagna mostra l’interesse degli attaccanti verso sistemi ancora vulnerabili a questa falla, risalente al marzo 2017, che impatta su un sistema operativo dichiarato End-of-Life (EOL) già da tre anni. In prima battuta, dal momento che il sistema operativo era EOL, Microsoft aveva annunciato che il bug non sarebbe stato risolto. In seguito, dato l’elevato numero di server ancora operativi e l’esistenza di campagne di exploit, Microsoft ha comunque provveduto a rilasciare patch correttive.
 
Di seguito gli indicatori di compromissione associati agli attacchi verso Microsoft IIS 6.0:

 
Malware Hosting Server:
  • 117.79.132[.]174
Indirizzi di mining:
  • Pool.electroneum.hashvault.pro:80
  • etn-eu1.nanopool.org:13333
  • etn-eu2.nanopool.org:13333
  • etn-us-east1.nanopool.org:13333
  • etn-us-west1.nanopool.org:13333
  • etn-asia1.nanopool.org:13333
  • etn-jp1.nanopool.org:13333
  • etn-au1.nanopool.org:13333
File:
  • test.sct: c7b01b6a732b06174a1d36da46463e22
  • lsass.eXe: 2f3ec555526902d25454d6bfc4495da7
 
Drupal CMS
In concomitanza con la pubblicazione di exploit per la vulnerabilità di Drupalgeddon 2, identificata dal CVE-2018-7600 e già trattata dal CERT-PA nella news “Vulnerabilità critica nel Core di Drupal“, emergono evidenze di attacchi che tentano di infettare i server vulnerabili tramite una backdoor e generare anche in questo caso criptovaluta.
 
Stando alle informazioni raccolte da Qihoo 360 Netlab emerge che di recente le botnet più rilevanti sono impiegate in scansioni di sistemi affetti dalla vulnerabilità Drupalgeddon 2. Tali scansioni erano già state individuate nei primi giorni di Aprile 2018, vedasi la news “Drupal: Rilascio PoC e tentativi di sfruttamento della vulnerabilità Drupalgeddon 2“, con l’intento principale di identificare CMS Drupal vulnerabili.
 
Volexity ha di recente osservato un’ampia varietà di azioni e tentativi di sfruttamento della vulnerabilità eseguiti tramite una richiesta POST HTTP malformata. L’esempio di seguito rappresentato, relativo ad un’istanza Drupal vulnerabile basata su Linux, consentirebbe di eseguire una richiesta per scaricare il file logo8.jpg dall’indirizzo IP 158.69.133[.]18:8220 ed eseguirne il contenuto attraverso una shell bash:
 
Gli eventi, oltre alla semplice ricognizione attraverso richieste con URL progettate per verificare la sfruttabilità, includono script dannosi che installano backdoor e “miners” intesi come generatori di criptovaluta. Recenti evidenze raccolte dal SANS indicano che gli hacker hanno utilizzato un codice PoC pubblico per installare una backdoor PHP. 
 
Di seguito gli indicatori di compromissione

 per gli attacchi rivolti ad istanze Drupal vulnerabili:

 
URL:
  • tc8zdw.if1j0ytgkypa[.]tk/i (Shell script)
  • mmsubtitles[.]co/fonts/aril.ttf (Backdoor PHP)
  • havio[.]pl/themes/themes.css (Backdoor PHP)
  • pastebin[.]com/raw/xJ6xzWek (Backdoor PHP)
  • 158.69.133[.]18:8220/logo8.jpg (Shell script)
  • 158.69.133[.]18:8220/logo4.jpg (Shell script)
  • 146.185.136[.]136/knock.php?target= (URL utilizzato per rilevare se un sito Web è vulnerabile)
  • stackoverflow666.sytes[.]net/3121.jpg (script PHP offuscato)
  • 195.22.126[.]16/2sm.txt (LinuxNet perlbot per IRC bot usata per attività DDoS)
  • 51.254.219[.]134/drupal.php (URL utilizzato per rilevare se un sito Web è vulnerabile)
  • 188.138.109[.]103/pll (Script)
  • ghostbin[.]com/paste/kchw9/raw (Backdoor per il caricamento di file PHP)
Di seguito, in formato scaricabile, una lista di indirizzi IP notati in attività di scansione e sfruttamento della vulnerabilità Drupal.
NOTA: Nella lista si evidenziano, a parte, indirizzi IP rilevati da attività di analisi del CERT-PA che tentano lo sfruttamento della vulnerabilità CVE-2018-7600:
 
Di seguito, in formato STIX, gli indicatori di compromissione omnicomprensivi trattati nella news a meno degli IP riportati nel file .txt:
 
Conclusioni
Le campagne indicate confermano quindi che gli attacchi di tipo “cripto-mining” continuano ad attirare malintenzionati per finalità redditizie e che tali eventi interessano sistemi facilmente attaccabili in quanto potenzialmente vulnerabili o ancora attivi, nonostante siano stati dichiarati fuori supporto dal  loro produttore.
 
A tal proposito, invitiamo gli utenti a mantenere sempre aggiornato il software indicato e valutarne la sua dismissione o, per lo meno, la non esposizione sulla rete Internet nel caso si tratti di prodotti con supporto dichiarato “EOL”.