Drupalgeddon 2 همچنان در حملات سایبری مورد استفاده قرار میگیرد
آسیب پذیری اجرای کد از راه دور (RCE) با وجود ارایه وصله از یک و نیم سال پیش، هنوز هم به طور فعال در حملات علیه وبسایتهای به کار گرفته میشود.
به گفته محققان امنیت سایبری Akamai، این نقص از طریق پروندههای مخرب Gif. بر سیستم مدیریت محتوای دروپال تاثیر میگذارد.
Drupalgeddon2 با شناسه CVE-2018-7600 ردیابی شده و نوعی آسیبپذیری است که برای اولین بار در مارس 2018 کشف شد. این آسیبپذیری بر روی نسخههایی از دروپال اثر میگذارد. در زمان کشف، دروپال تخمین زد که بیش از یک میلیون وبسایت آسیبپذیر هستند. بهره برداری برای Drupalgeddon2 طی چند روز توسعه یافت.
بیش از یک سال و نیم پیش وصلهای برای این نقص ارایه شد و از صاحبان Drupal خواسته شد که به سرعت نسخههای جدید و بدون آسیب را بهروزرسانی کنند. با این حال، به نظر میرسد که همه وب مسترها از این توصیه پیروی نکردهاند.
پس از راه اندازی در دامنههای آسیبپذیر، از این آسیبپذیری برای اجرای نرمافزارهای مخربی استفاده میشود که قادر به اسکن فایلهای اعتبارنامهها، ارسال ایمیلهای حاوی جزئیات به سرقت رفته توسط مهاجمین و جایگزینی پروندههای htaccess هستند. علاوه بر این، کدهای مخرب این نقص، سعی در نمایش پروندههای پیکربندی MySQL my.cnf دارند.
مهم نیست که طول عمر این آسیبپذیری چقدر است؛ خصوصاً اینکه بعضی از آنها در حملات فعال بیش از یک دهه قدمت دارند، بنابراین اگر احتمالاً وجود سیستمهای غیرقابل استفاده فراهم باشد، از آنها سوءاستفاده خواهد شد.
محققان Akamai میگویند در مواردی مانند Drupalgeddon2، بهره برداری ساده و از راه دور آن باعث میشود که مهاجمان اسکنها و حملات را بر روی “سیستمهای ضعیف و فراموش شده” انجام دهند.
آنها افزودند: “این کار مهاجمان، برای عملکردهای سازمانی و سرپرستان وب مشکلات متعددی را ایجاد میکنند، زیرا این دستگاههای فراموش شده قدیمی اغلب به سیستمهای مهم دیگر متصل میشوند و یک نقطه محوری در شبکه ایجاد میکنند. ارایه به موقع وصلهها و همچنين حفاظتهای مناسب از سرورها در صورتي كه ديگر از آنها استفاده نشود، میتواند بهترين اقدامات پيشگيرانه در این زمینه باشد.”