Sunucular ve akıllı cihazlardan oluşan bir zombi ağı, ciddi bir Drupal CMS açığından faydalanmaya başladı ve solucan benzeri bir davranışla yeni makinelere bulaşıyor.
Zombi ağı, Drupalgeddon 2 olarak da adlandırılan CVE-2018-7600 açığından faydalanarak spesifik bir URL’ye erişiyor ve Drupal CMS’i çalıştıran bir sunucu üzerinde komut çalıştırma yeteneği kazanıyor.
Bleepingcomputer sitesinin haberine göre, Muhstik adı verilen zombi ağı, yıllardı Linux sunucuları ve Linux tabanlı yazılımlar çalıştıran cihazlara bulaşarak onları zombileştiren çok eski bir zararlı yazılım olan Tsunami’nin üzerine kurulmuş. Siber suçlular, Tsunami’yi başlangıçta DDoS saldırıları için kullansa da kaynak kodu internete sızdıktan sonra yazılımın özellikleri büyük ölçüde genişledi.
İlgili haber >> DDoS saldırıları daha karmaşıklaşıyor
Netlab’ın yayınladığı rapora göre, Tsunami’nin Muhstik versiyonu; DDoS saldırıları düzenleyebiliyor ve bulaştığı makinelerde Dash kripto para birimi madenciliği yapmak üzere XMRig Monero ya da CGMiner programlarını yüklüyor.
Muhstik, ayrıca bulaşmasının hemen ardından bir tarama modülü de indiriyor. Bu modül, Muhstik’e göre tamamen farklı bir dizi komuta kontrol sunucusuyla bağlantı kurarak, IP adreslerinin listesini ele geçiriyor ve açığa sahip olan sistemler için tarama yapmaya başlıyor. Muhstik, bu IP’leri önceden belirlenmiş portlar üzerinde tarayarak, yeni sunucular ya da akıllı cihazlar gibi bulaşabileceği yeni sistemleri belirlemeye çalışıyor.
Yeni kurbanlar belirlendiğinde, virüslü cihaz ana Muhstik C&C sunucularından birine, bulaşabileceği yeni host’lar hakkında spesifik bir URL’ye istek göndererek bilgi veriyor.
Söz konusu tasarım, birçok IoT zombi ağı için bugünlerde çok yaygın olmakla birlikte, Muhstik Drupalgeddon 2 açığını kullanan zombi ağlarından ilki olma özelliğini taşıyor. Diğer zombi ağlarının da açılan bu yoldan ilerlemesi an meselesi olarak görülüyor. Zira siber suçlar her şeyden önce birbirlerini taklit ederek çoğalıyor.
Drupal güvenlik ekibi, söz konusu açığına karşı 28 Mart’ta Drupal 7.58 ve Drupal 8.5.1 yamalarını yayınlamıştı. Drupal’ın, site ve sunucularının siber suçlular tarafından ele geçirilmesini engellemek için bu versiyonları güncellemesi gerekiyor.
Drupalgeddon 2 açığından yararlanmasının yanında, söz konusu zombi ağının Oracle WebLogic sistemlerini hedef almak için faaliyetlerini hızlandırdığı da belirtiliyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz