Aanvallers combineren een kwetsbaarheid in Drupal en Linux om kwetsbare Drupal-webservers over te namen. Daarvoor waarschuwt securitybedrijf Imperva. Drupal is een contentmanagementsysteem dat door 2 procent van alle websites op internet wordt gebruikt, aldus cijfers van W3Techs.

In maart van dit jaar werd er een zeer ernstige kwetsbaarheid in Drupal gepatcht waardoor aanvallers kwetsbare websites kunnen overnemen. Dit beveiligingslek wordt ook wel "Drupalgeddon 2" genoemd. Kort na het uitkomen van de beveiligingsupdate maakten aanvallers hier misbruik van om kwetsbare websites over te nemen. Via het Drupal-lek kunnen aanvallers hun eigen code met de rechten en gebruiker van de webapplicatie uitvoeren.

Aanvallers willen graag langere tijd toegang tot een systeem behouden, zodat het opnieuw besmet kan worden als de kwaadaardige code wordt verwijderd. In het geval van op Linux-gebaseerde systemen wordt vaak een communicatiekanaal via SSH geopend, zegt Nadav Avital van Imperva. Wanneer er geen SSH-service is geïnstalleerd moet de aanvaller dit zelf doen.

"Meestal heeft de webserver minimale permissies en kan geen nieuwe services installeren", aldus Avital. Bij de nu waargenomen aanvallen zoeken de aanvallers dan ook naar root-wachtwoorden in de configuratiebestanden, zodat SSH wel kan worden geïnstalleerd. Wanneer er geen root-wachtwoorden worden gevonden proberen de aanvallers drie verschillende exploits voor de Dirty COW-kwetsbaarheid.

Dirty COW is de naam voor een uit 2016 stammende Linux-kwetsbaarheid waardoor een lokale gebruiker zijn rechten kan verhogen. Op deze manier kan een aanvaller root worden en zo alsnog SSH installeren. "Beheerders moeten er dan ook voor zorgen dat zowel hun webapplicatie als het besturingssysteem van de host volledig zijn gepatcht", merkt Avital op.