Drupalgeddon2涉及軍備競賽，以大規模利用強大的Web伺服器

攻擊者正在大量利用Drupal內容管理系統中最近修復的漏洞，使他們能夠完全控制強大的網站伺服器，來自多家安全公司的研究人員警告說。

Netlab 360的研究人員周五表示，至少有三個不同的攻擊組織正在利用「Drupalgeddon2」，這個名稱是在3月底修補了一個非常關鍵的漏洞Drupal維護者的名字。Drupalgeddon2正式編入CVE-2018-7600，使Internet上的任何人都可以輕鬆完全控制易受攻擊的伺服器，只需訪問URL並注入公開的漏洞代碼。利用漏洞攻擊可以讓攻擊者運行自己選擇的代碼，而無需在易受攻擊的網站上擁有任何類型的帳戶。這個遠程代碼漏洞需要回到2014年的Drupal漏洞，這也使得容易攻擊易受攻擊的伺服器成為可能。

「Drupalgeddon2」受到了主動攻擊，我們網路後面的每個Drupal網站都會不斷從多個IP地址進行探測，「安全公司Sucuri的首席技術官兼創始人Daniel Cid告訴Ars。「沒有補丁的人現在已經被黑客攻擊了，自從第一次公開攻擊發布以來，我們看到了這些犯罪分子之間的軍備競賽，因為他們都試圖儘可能多地破解網站。」

與此同時，中國的Netlab 360表示，至少有三個相互競爭的攻擊組織正在利用該漏洞。Netlab 360的研究人員在周五發表的一篇博客文章中說，最活躍的團隊正在使用它來安裝多種惡意有效載荷，包括加密貨幣礦工和用於在其他域上執行分散式拒絕服務攻擊的軟體。該組織在其代碼中彈出一個關鍵字之後被稱為Muhstik，它依賴於11個獨立的命令與控制域和IP地址，這大概是為了在被關閉時的冗餘。

增加了一拳

Netlab 360表示，提供惡意有效載荷的IP地址分布廣泛，主要運行Drupal，這表明蠕蟲行為會導致受感染的站點攻擊尚未受到攻擊的易受攻擊的站點。蠕蟲是最強大的惡意軟體類型之一，因為它們的自我傳播賦予它們病毒的特性。

在管理員尚未安裝修復程序的事件中，Muhstik正在利用其他伺服器應用程序中以前修補過的漏洞來增加額外的功能。Webdav，WebLogic，Webuzo和WordPress是該組定位的其他一些應用程序。

Muhstik與海嘯有關係，這是一種自2011年以來一直活躍的惡意軟體，並在2014年感染了超過10,000台Unix和Linux伺服器。Muhstik採用了近期物聯網殭屍網路中的一些感染技術。傳播方法包括掃描易受攻擊的伺服器應用程序並探測弱安全殼或SSH密碼的伺服器。

十年前，Drupal伺服器的大規模開發令人回想起未安裝Windows伺服器的流行病，這給數以百萬計的個人電腦帶來了犯罪黑客。襲擊者然後將利用他們廣泛分布的棲息地發動新的入侵。由於網站伺服器通常具有比PC更高的帶寬和計算能力，因此新的伺服器折衷方案對互聯網構成了更大的威脅。

Drupal維護人員修補了7.x和8.x版本系列以及6.x系列中的關鍵漏洞，該維護人員在2016年停止了支持。尚未安裝該修補程序的管理員 應該假設他們的系統受到損害並且立即採取行動消毒它們。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！