یک آسیبپذیری که بهتازگی در سیستم مدیریت محتوای دروپال وصله شده بود، مورد بهرهبرداری قرار گرفته است تا استخراجکنندگان رمزارز و سایر بارهای داده را انتقال دهد. این حملات تنها سه روز پس از وصلهی منتشرشده برای این آسیبپذیری آغاز شد. این آسیبپذیری که با شناسهی CVE-2019-6340 ردیابی میشود، ناشی از عدم پاکسازی داده در برخی از انواع داده است و میتواند امکان اجرای کد پیاچپی دلخواه را به یک مهاجم بدهد. درصورتیکه مؤلفهی اصلی وب سرویس RESTful فعال باشد، امکان ارسال درخواستهای PATCH و POST فراهم خواهد بود. حتی درصورتیکه مؤلفهی وب سرویس دیگری فعال باشد، این حملات امکانپذیر هستند.
دروپال بهروزرسانیهای منتشرشده برای رفع این آسیبپذیری را منتشر و به مشتریان اعلام کرده است که میتوانند با غیرفعال کردن همهی مؤلفههای وب سرویس یا پیکربندی سرور برای عدم پذیرش درخواستهای GET/PUT/PATCH/POST منابع وب سرویس با این آسیبپذیری مقابله کنند. وصلههای منتشرشده در ۲۰ فوریه بهسرعت تجزیه و تحلیل شد و جزئیات فنی و کد اثبات مفهومی نیز دو روز پس از آن منتشر شد.
شرکت امنیتی Imperva اعلام کرد که بهتازگی صدها حمله را مشاهده کرده است که از این آسیبپذیری بهرهبرداری میکند و دهها مورد از مشتریان ازجمله سازمانهای دولتی و بخشهای خدمات مالی را هدف قرار میدهد. بهگفتهی این شرکت یکی از جالبترین بارهای دادهای منتقلشده در این حملات یک استخراجکنندهی رمزارز مبتنیبر جاوااسکریپت به نام CoinIMP بود.
این ابزار در فایل index.php وبگاه هدف تزریق میشود و از دستگاههای بازدیدکنندگان برای استخراج مونرو و سایر رمزارزها سوءاستفاده میکند. مهاجمان همچنین تلاش کردند تا از این بهرهبرداری برای ارسال یک پوسته استفاده کنند که به آنها اجازه میدهد فایلهای دلخواه را در وبگاههای دروپال آسیبپذیر بارگذاری کنند. این حملات ممکن است علیه وبگاههایی راهاندازی شود که مدیران آنها اقدامات اولیهی پیشنهادشده توسط توسعهدهندگان دروپال را انجام دادهاند.
