گروهی از نفوذگران آسیبپذیریهای موجود در سیستم مدیریت محتوای دروپال را هدف قرار دادهاند. از جملهی این آسیبپذیریها میتوان به Drupalgeddon2 اشاره کرد. این آسیبپذیری در اوایل سال ۲۰۱۸ میلادی وصله شده است. مهاجمان از این آسیبپذیری برای نصب یک درب پشتی بر روی سرورهای آلوده بهرهبرداری میکنند.
در این پویش آسیبپذیریها با شناسهی CVE-2018-7600 و CVE-2018-7602 که به آسیبپذیریهای Drupalgeddon2 و Drupalgeddon3 موسوم هستند بهرهبرداری میشود. مهاجم با بهرهبرداری از این آسیبپذیریها می تواند درب پشتی را بر روی سیستم نصب کرده و کنترل کامل سرور را در دست میگیرند. گفته میشود بیشتر انگیزهی مهاجمان اهداف مالی است و علت موفقیت این بهرهبرداریها نبود سیستم مناسب برای مدیریت بهروزرسانیها و وصلهها در سیستمهای دروپال است.
محققان درخواستهای زیادی از نوع HTTP POST را مشاهده کردهاند که از طرف یک آدرس IP مشخص ارسال میشود. این درخواستهای برای دانلود یک اسکریپت پرل برای اجرای درب پشتی Shellbot ارسال میشود. این بات برای ارتباط با سرور دستور و کنترل از کانالهای IRC بهره میبرد. همچنین بات دارای ابزارهای مختلفی برای اجرای حملات منع سرویس توزیعشده و اسکن آسیبپذیریهای مختلف مانند تزریق SQL است. این بات برای اسکن سریع تعداد زیادی از وبسایتها و شناسایی و بهرهبرداری از نمونههای آسیبپذیر طراحی شده است.
محققان امنیتی اشاره کردند کد مربوط به بات Shellbot برای اولین بار در سال ۲۰۰۵ میلادی مشاهده شد و در پویشهای مختلفی از آن استفاده شده است. از جملهی این حملات به پویش استخراج رمزارز با بهرهبرداری از آسیبپذیری آپاچی Struts با شناسهی CVE-2017-5638 در ماه مارس سال ۲۰۱۷ میلادی اشاره کرد. به تمامی مدیران وبسایتهای دروپال توصیه میشود هرچه سریعتر نسخههای قدیمی از این سیستم مدیریت محتوا را بهروزرسانی کنند تا این آسیبپذیریها برطرف شود.
