تم استغلال ثغرة دروبال (CVE-2018-7600) ، التي أطلق عليها اسم دروبالجدون 2 والتي قد تسمح للمهاجمين بالاستيلاء على المواقع الإلكترونية الضعيفة كليًا ، في البرية من أجل إيصال خلفيات البرمجيات الخبيثة وعمال المناجم المحررة.
تم إصلاح Drupalgeddon2 ، وهي نقطة ضعف شديدة الأهمية في تنفيذ التعليمات البرمجية عن بعد ، والتي تم اكتشافها قبل أسبوعين في برنامج نظام إدارة محتوى دروبال ، مؤخرًا من قبل الشركة دون الإفصاح عن تفاصيلها الفنية.
ومع ذلك، بعد يوم واحد نشر باحثون الأمن في تشيك بوينت وDofinity تفاصيل كاملة، وDrupalgeddon2 إثبات صحة مفهوم (اضغط لتتحدث)استغلال كود تم توفيرها على نطاق واسع، وتبعه على نطاق واسع المسح الإنترنت ومحاولات الاستغلال.
في ذلك الوقت ، لم يتم الإبلاغ عن أي حادث لأهداف تم الاستيلاء عليها ، ولكن خلال عطلة نهاية الأسبوع ، لاحظت العديد من شركات الأمن أن المهاجمين قد بدأوا الآن في استغلال الضعف من أجل تثبيت عامل التعدين باستخدام cryptocurrency وأخرى خبيثة على المواقع الضعيفة. رصد
مركز SANS Internet Storm بعض الهجمات لإيصال عامل التعدين باستخدام cryptocurrency ، وهو مستتر من PHP ، وبروتين IRC مكتوب في Perl.
يسمح Backdoor بسيط PHP للمهاجمين بتحميل ملفات إضافية (backdoors) إلى الخادم المستهدف.
كما يشير موضوع في منتديات SANS ISC Infosec إلى أن Drupalgeddon2 يتم استخدامه لتثبيت عامل المنجم XMRig Monero على المواقع الضعيفة. بالإضافة إلى عامل التعدين الفعلي XMRig ، يقوم البرنامج النصي الخبيث أيضًا بتنزيل ملفات إضافية ، بما في ذلك برنامج نصي لقتل عمال المناجم المتنافسين على النظام المستهدف.
كما لاحظ باحثون من شركة "Volexity" الأمنية مجموعة واسعة من الإجراءات والحمولات التي تتم عبر الاستغلال العام لـ Drupalgeddon2 لتقديم نصوص خبيثة تثبت الخلفية وعمال التعدين في المواقع المعرضة للخطر.
اعتقد الباحثون أن إحدى حملات منير مونيرو ، التي تقدم XMRig ، ترتبط بمجموعة إجرامية تستغل الثغرة (CVE-2017-10271) في خوادم Oracle WebLogic لتقديم البرمجيات الخبيثة من عمال التعدين بعد فترة وجيزة من نشر رمز استغلال PoC الخاص به علنًا في في أواخر عام 2017.
حددت Volexity بعض محافظ المجموعة التي خزنت ما مجموعه 544.74 XMR (عملة Monero) ، أي ما يعادل 105،567 دولارًا تقريبًا.
كما ذكرنا في مقالنا السابق ، أظهرت إحصائيات Imperva أن 90٪ من هجمات Drupalgeddon2 هي ببساطة مسح IP في محاولة للعثور على أنظمة ضعيفة ، و 3٪ من محاولات العدوى المستترسة ، و 2٪ تحاول تشغيل عمال التعدين المشفرين على الأهداف.
لغير المدركين ، يسمح Drupalgeddon2 لمهاجم بعيد غير مصادق بتنفيذ تعليمات برمجية ضارة على الإعداد الافتراضي أو منشورات دروبال العامة تحت امتيازات المستخدم ، مما يؤثر على جميع إصدارات دروبال من 6 إلى 8.
لذلك ، أوصي بشدة بمسؤولي الموقع لتصحيح هذه المشكلة عن طريق تحديث CMS الخاصة بهم إلى دروبال 7.58 أو دروبال 8.5.1 في أقرب وقت ممكن.
في تحذيره ، حذر دروبال من أن "المواقع التي لم يتم تصحيحها بحلول يوم الأربعاء ، 2018-04-11 قد تتعرض للخطر" و "ببساطة لن يقوم برنامج Drupal بتحديث الخلفية أو إصلاح المواقع المخترقة".
علاوة على ذلك،
"إذا وجدت أن موقعك قد تم تصحيحه بالفعل ، ولكنك لم تقم بذلك ، فقد يكون ذلك أحد الأعراض على أن الموقع تعرض للاختراق. بعض الهجمات في الماضي طبقت التصحيح كطريقة لضمان أن ذلك المهاجم فقط السيطرة على الموقع ".
في ما يلي دليل فريق Drupal يقترح أن يتبع إذا تم اختراق موقع الويب الخاص بك .