اخیرا در مورد آسیب پذیری در سیستم مدیریت محتوای دروپال صحبت کردیم که شناسه ی آن CVE-2018-7600 بود و Drupalgeddon2 نام داشت. نفوذگران در حال بهره برداری از این آسیب پذیری در دنیای واقعی هستند و به دنبال آن بر روی وب سایت ها درب پشتی، بدافزارهای استخراج ارز مجازی و دیگر بدافزارها را توزیع می کنند.
هرچند بیشتر بهره برداری ها از آسیب پذیری CVE-2018-7600 در مرحله ی پویش بودند ولی به تازگی برخی از مهاجمان برای توزیع بدافزار از این آسیبپذیری بهرهبرداری کردهاند. گزارشها حاکی از آن است که نفوذگران تلاش میکنند بر روی سرورهای آسیبپذیر، نمونه از بدافزار استخراج ارز مجازی، درب پشتی مبتنی بر پیاچپی که میتواند فایلهای دیگری را بر روی سرور بارگذاری کند و یک بات IRC که به زبان پرل نوشته شده است، بارگذاری کنند.
در برخی از نمونهها محققان توزیع بدافزار XMRig Monero را مشاهده کردهاند. در برخی از نمونههای بدافزاری مشاهده شده که بدافزار جدید به بدافزارهای مشابه رقیب که به استخراج ارز مجازی میپردازند خاتمه میدهد. تحقیقات نشان میدهد ۹۰ درصد از بهرهبرداریها مربوط به پویش، ۳ درصد نصب درب پشتی و ۲ درصد مربوط به توزیع بدافزار استخراج ارز مجازی هستند. ۵۳ درصد از حملات از سمت آمریکا و ۴۵ درصد از سمت کشور چین در حال اجرا هستند.
محققان توزیع بدافزارهای استخراج ارزهای دیجیتال را به یک گروه نفوذ نسبت دادهاند که قبلا نیز از آسیبپذیریهایی در همین راستا بهرهبرداری کرده بودند. در حال حاضر موجودی کیف پول مونرو آنها افزایش یافته و ارزشی معادل با ۱۰۰ هزار دلار دارد. نفوذگران میتوانند برای اجرای کد از راه دور از آسیبپذیری Drupalgeddon2 بهرهبرداری کنند و در ادامه کنترل دستگاههای آسیبپذیر را در دست بگیرند. این آسیبپذیری دروپال ۶، ۷ و ۸ را تحت تاثیر قرار داده و با بهروزرسانی امنیتی که دروپال در ماه مارس منتشر کرده، وصله شده است.
محققان انتظار داشتند که بهرهبرداری از این آسیبپذیری سریع اتفاق بیفتد ولی دو هفته بعد از اینکه یک کد اثبات مفهومی و جزئیات این آسیبپذیری بهطور عمومی منتشر شد، این سری از حملات شروع شدند. محققان میگویند نفوذگران بهرهبرداری از این آسیبپذیری را شروع نکرده بودند و منتظر بودند تا محققی کد اثبات مفهومی و بهرهبرداری را بهطور عمومی منتشر کرده و از آن استفاده کنند.
به دلیل گسترده بودن بهرهبرداری از آسیبپذیری CVE-2018-7600، محققان هشدار میدهند که اگر وصلهها و بهروزرسانیها را اعمال نکردهاید، به احتمال زیاد وبسایت شما به بدافزار آلوده شده است. به مدیران وبسایتها توصیه میکنیم در اسرع وقت وبسایتهای خود را بهروزرسانی کنند تا در معرض چنین حملاتی قرار نگیرند.
منبع
