Cette vague d’attaque on notamment pour objectif d’installer des ransomware sur le gestionnaire de contenus.
C’est une vulnérabilité assez ancienne dans le gestionnaire de contenu open source Drupal qui est utilisée. Vieille de deux ans, elle permet aux attaquants d’installer un ransomware qui renvoie l’utilisateur sur la page d’accueil du site piraté, non chiffrée. La faille affecte les sites 7.x de Drupal antérieure à la version 7.32 et permet dans la fonction expandArguments de lancer des attaques par injection SQL.
Le 23 mars dernier, un utilisateur signalait sur un forum Drupal que son site affichait « site web verrouillé. S’il vous plaît, veuillez transférer 1,4 Bitcoin à l’adresse XXX pour en déverrouiller le contenu ». Une recherche avec l’adresse incriminée montrait alors que plusieurs sites étaient déjà touchés. En fait, selon le PDG et cofondateur de Forkbombus Labs, Stu Gorton, la première infection observée daterait du 11 mars, avant d’observer un nombre croissant d’infections.
L’attaque débute par une analyse par les robots des hackers à la recherche du fichier CHANGELOG.txt, mais aussi de fichiers joomla.xml. Ces robots vont ensuite extraire la version du site et se servir de la faille estampillée CVE-2014-3704 pour pénétrer le site et parfois modifier le mot de passe administrateur. Cette tâche étant effectuée, des opérations automatisées sont exécutées pour mettre en place une nouvelle page sur la version Drupal du site sur laquelle sera affiché un formulaire d’upload et supprimer le fichier .htaccess. Il sera alors possible d’extraire des informations du site (comme les adresses mails). Quand les informations sont soutirées, le ransomware est installé, supprimant le formulaire de téléchargement et remplaçant celui-ci par le message indiquant le blocage du site.
Stu Gorton précise que le ransomware n’est pas d’une grande qualité technique, ni chiffré, ni verouillé. Il buterait aussi sur les installations atypiques et certains sites attaqués ont une quantité de données corrompues assez limitée. Il semblerait même que le blokchain mis en place pour la transaction financière n’enclenche aucun versement…
D’évidence, devant la popularité des ransomwares auprès des pirates, il est plus que jamais nécessaire de maintenir à jour ses installations. La faille incriminée est corrigée de longue date et ce sont donc les administrateurs n’ayant pas installé les mises à jour régulièrement qui s’exposent à un véritable risque d’attaque.
Sources : blog Drupal, CVE-2014-3704, Softpedia