[Cảnh báo]Hơn 115.000 web Drupal bị tấn công qua lỗ hổng Drupalgeddon2

Đối với những người không biết, Drupalgeddon2 cho phép kẻ tấn công từ thực thi mã độc hại trên các bản cài đặt Drupal mặc định hoặc tiêu chuẩn theo đặc quyền của người dùng.

Vì Drupalgeddon2 có nhiều nguy cơ gây sự chú ý của những kẻ tấn công, công ty đã yêu cầu tất cả các quản trị viên trang web cài đặt các bản vá bảo mật ngay sau khi nó được phát hành vào cuối tháng 3 và quyết định không phát hành bất kỳ chi tiết kỹ thuật nào về lỗ hổng ban đầu.

Tuy nhiên, những kẻ tấn công bắt đầu khai thác lỗ hổng này chỉ sau hai tuần sau khi hoàn thành chi tiết và mã khai thác (DRC) của Drupalgeddon2 xuất hiện , tiếp theo là  khai thác Internet quy mô lớn.

Ngay sau đó, chúng tôi thấy nó đã được phát triển khai thác tự động tận dụng lỗ hổng Drupalgeddon 2 để các tiến trình khai thác tiền điện tử , backdoors và các phần mềm độc hại khác vào trang web, chỉ vài giờ sau khi được phát tán.

Nhà nghiên cứu Mursch đã quét Internet và tìm thấy gần 500.000 trang web đang chạy trên Drupal 7, trong đó 115.070 vẫn đang chạy một phiên bản cũ của Drupal dễ bị Drupalgeddon2.

Trong khi phân tích các trang web, Mursch nhận thấy rằng hàng trăm người trong số họ – bao gồm cả bộ phận cảnh sát Bỉ, văn phòng Tổng chưởng lý Colorado, chi nhánh Fiat Magneti Marelli và dịch vụ định vị xe tải thực phẩm – đã được nhắm đến bởi một chiến dịch mã hóa mới.

Mursch cũng tìm thấy một số trang web bị nhiễm trong khi đã nâng cấp trang web của họ lên phiên bản Drupal mới nhất, nhưng phần mềm độc hại cryptojacking vẫn tồn tại.

Chúng tôi đã cảnh báo người dùng kể từ tháng 3 rằng nếu bạn đã bị nhiễm phần mềm độc hại, chỉ cần cập nhật trang web Drupal của bạn sẽ xóa “backdoors hoặc sửa các trang web bị xâm phạm”.