توسعه دهندگان دروپال روز دوشنبه اعلام کردند که نسخه های ۷٫x، ۸٫۴٫x و ۸٫۵٫x این سیستم مدیریت محتوا، اواخر این هفته یک به روزرسانی امنیتی جدید را دریافت خواهند کرد. در به روزرسانی جدید هسته ی دروپال که ۲۵ آوریل منتشر خواهد شد، یک آسیب پذیری بسیار حیاتی با شناسه ی CVE-2018-7600 که Drupalgeddon2 نامیده می شود، برای بار دوم وصله خواهد شد.
درحالیکه توسعهدهندگان دروپال این بهروزرسانی امنیتی جدید را بهعنوان یک وصلهی ثانویه برای آسیبپذیری Drupalgeddon2 توصیف کردهاند، یک شناسهی CVE جداگانه بهصورت CVE-2018-7602 نیز برای آسیبپذیری جدید اختصاص داده شده است. اولین حملات مرتبط با آسیبپذیری Drupalgeddon2 که اواخر ماه مارس وصله شده بود، تقریبا دو هفته بعد و کمی بعد از انتشار جزئیات فنی و کد اثبات مفهومی آن شناسایی شد.
درحالیکه بسیاری از بهرهبرداریها از این آسیبپذیری بهمنظور شناسایی سیستمهای آسیبپذیر طراحی شده بودند، شرکتهای امنیت سایبری چندین پویش را شناسایی کردهاند که این آسیبپذیری را با هدف راهاندازی استخراجکنندههای ارز مجازی، دربهای پشتی و سایر بدافزارها بهکار میگیرند. به گفتهی Netlab360، حداقل سه گروه تهدیدکننده از این آسیبپذیری اخیرا وصلهشده، بهرهبرداری میکنند. این شرکت اعلام کرد که برخی از حملات Drupalgeddon2 توسط یک باتنت نسبتا بزرگ تحت عنوان Muhstik، طراحی شدهاند. کارشناسان معتقدند که Muhstik در واقع نوعی از باتنت قدیمی Tsunami است.
باتنت Muhstik از دو روش اصلی برای توزیع خود استفاده میکند: ماژول اسکن aioscan که شامل هفت اسکن مربوط به بار دادههای چهار پورت متفاوت است و یک ماژول اسکن SSH که بهدنبال سیستمهایی با پسوردهای ضعیف است. محققان میگویند که این باتنت به مهاجمان برای راهاندازی استخراجکنندههای ارز مجازی مانند XMRig و CGMiner و همچنین حملات منع سرویس توزیعشده (DDoS) کمک میکند.