Cryptojacking : des centaines de sites Drupal compromis

C’était attendu, mais pas suffisamment, apparemment, pour que tous les administrateurs de sites Web concernés appliquent les correctifs disponibles. Troy Mursch a récemment lancé l’alerte : des centaines de sites Web fonctionnant sous Drupal, et malheureusement pas à jour de correctifs, ont été détournés par des cyber-délinquants. Ceux-ci profitent d’une vulnérabilité présente dans certaines versions du système de gestion de contenus pour injecter du code de minage de crypto-deniers dans les pages Web.

La charge utile est appelée à partir d’un code systématiquement caché à la fin d’un fichier JavaScript, où il est maquillé de sorte à le rendre illisible par un être humain. Le mineur en lui-même est une implémentation de Coinhive modifiée pour ne pas entraîner une consommation massive de ressources processeur, susceptible de trahir sa présence.

Dans un billet de blog, Troy Mursch explique avoir identifié 348 sites compromis, dont 26 en France. Il a consolidé l’ensemble dans une liste publique. La consultation de cette dernière fait ressortir quelques victimes servant encore le code malicieux à leurs visiteurs : Afimin, le club des ambassadeurs d’Alsace, les pompes à chaleur Calis, la filiale du groupe Spie RDI, l’atelier Le Mée, la ville de Loriol, le syndicat de la presse indépendante d’information en ligne, l’agence Web Relief ou encore la CCI Occitanie, le pôle touristique du Pays de Grasse et la bibliothèque de l’Institut de France. Au moment où sont écrites ces lignes, le code maquillé en question est toujours présent dans les pages des sites Web de ces organisations.

La bonne nouvelle est que le domaine où était hébergé le code de minage n’est aujourd’hui plus contrôlé par les cyber-délinquants à l’origine de cette vaste campagne : ce code n’est donc plus téléchargé par les navigateurs des internautes visitant les sites Web compromis.

While this #cryptojacking campaign may be over, affected website owners still need to clean up their site AND update to the latest version of #Drupal. https://t.co/R8j5wiS6Q6

— Bad Packets Report (@bad_packets) May 9, 2018

Mais comme le relève Troy Mursch, cela ne veut pas dire que les administrateurs n’ont pas intérêt à nettoyer leurs serveurs : d’autres acteurs malveillants ont pu s’engouffrer dans la brèche et déposer d’autres éléments de code malicieux. Un examen et un nettoyage méticuleux s’imposent. Et cela d’autant plus que l’application des correctifs ne supprime pas le code malicieux installé avant celle-ci.

Deux importantes vulnérabilités pour Drupal ont été découvertes ces derniers mois. Les correctifs sont disponibles et méritent d’être appliqués d’urgence. En fait, les administrateurs de certains sites Web compromis découverts par Troy Mursch l’ont peut-être déjà fait… mais sans procéder au nettoyage en profondeur de rigueur. A ce jour, Shodan recense plus de 7 600 sites Web animés par Drupal en France.