صدها هزار از وبسایتهایی که از سیستم مدیریت محتوای دروپال استفاده میکنند دارای یک آسیبپذیری حیاتی هستند که تقریبا دو ماه از وصله شدن آن میگذرد. بیشتر این وبسایتها مربوط به نهادهای دولتی و آموزشی هستند. یک محقق امنیتی کل اینترنت را اسکن کرده و متوجه شده بیش از ۱۱۵ هزار وبسایت در سراسر جهان دارای آسیبپذیری Drupalgeddon2 هستند.
این آسیبپذیری دارای شناسهی CVE-2018-7600 بوده و یک آسیبپذیری اجرای کد از راه دور محسوب میشود که در ماه مارس شناسایی شده است. مهاجم میتواند با بهرهبرداری از این آسیبپذیری کنترل کامل وبسایت را در دست بگیرد. بهرهبرداری از Drupalgeddon2 به مهاجم اجازه میدهد کدهای مخرب خود را با امتیازات کاربر معمولی وبسایت اجرا کند.
به دلیل اینکه پتانسیل بهرهبرداری از این آسیبپذیری توسط مهاجمان بالا است، دروپال در اواخر ماه مارس این آسیبپذیری را وصله کرده و به همهی مدیران وبسایتها توصیه کرده بود تا هرچه سریعتر این آسیبپذیری را وصله کنند. همچنین توسعهدهندگان دروپال تصمیم گرفتند تا جزئیات فنی این آسیبپذیری را گزارش نکنند.
با این حال دو هفته پس از انتشار وصله توسط دروپال، کد اثبات مفهومی و بهرهبرداری این آسیبپذیری بهطور عمومی منتشر شد و مهاجمان نیز بهرهبرداری از وبسایتهای آسیبپذیر را آغاز کردند. همچنین بلافاصله پس از انتشار جزئیات آسیبپذیری، شاهد بودیم مهاجمان بهرهبرداری خودکاری را توسعه دادند که قادر بود بدافزارهای استخراج ارز دیجیتال و درب پشتی را بر روی وبسایتهای آسیبپذیر تزریق کند.
این محقق امنیتی اسکن جامعی را در سطح اینترنت انجام داده و متوجه شد نزدیک به ۵۰۰ هزار وبسایت هنوز از دروپال ۷ استفاده میکنند و علاوه بر آن، ۱۱۵۰۷۰ مورد از آنها دارای آسیبپذیری Drupalgeddon2 هستند. این محقق متوجه شد صدها مورد از این وبسایتهای آسیبپذیر، هدف حملات بدافزارهای استخراج ارز دیجیتال قرار گرفتهاند. این در صورتی است که برخی از این وبسایتها به آخرین نسخه از دروپال بهروزرسانی انجام دادهاند ولی بدافزار همچنان بر روی آنها باقی مانده است.
همچنان به تمامی مدیران وبسایتهای دروپال توصیه میکنیم تا سیستم مدیریت محتوای دروپال را بهروز نگه دارند و اگر به بدافزار آلوده شدهاند، بهروزرسانی کردن وبسایت نمیتواند بهطور کامل آلودگی را از بین ببرد و پیشنهاد میکنیم برای حذف کامل بدافزار، راهنمایی دروپال را در این لینک مطالعه کنید.