內容管理系統Drupal在2018年3月爆出代號為CVE-2018-7600的客戶端程式碼執行漏洞Drupalgeddon 2,雖然官方已經釋出修正版本,但是根據研究,還有超過10萬個Drupal網站沒有更新,其中許多已經被入侵且植入惡意挖礦程式,不乏許多知名網站或是政府機構網頁。

資安研究員Troy Mursch使用程式碼搜尋引擎PublicWWW找到約50萬個使用Drupal 7的網站,經過他對這些網站進行掃描後,發現有115,070個使用容易被攻擊的老舊Drupal版本,134,447個網站沒有漏洞,而有225,056個網站無法確定Drupal版本。Troy Mursch提到,Drupal版本至少要到7.58才不會受到Drupalgeddon 2漏洞影響。

Drupal安全小組則認為,Troy Mursch的研究方法存在問題,因為他判別Drupal版本是根據網站上公開的CHANGELOG.txt,但可能在這115,070被Troy Mursch認為容易受攻擊的網站,已經做了相對應用的措施。對此Troy Mursch回應,要嘗試入侵50萬個網站絕對是非法的行為,因此他無法採取更進一步的方法,來證明這些網站都是易受入侵的,而他也認為,這115,070個網站使用過時的Drupal版本,本來就非維護網站安全的最佳實踐。

另外,也不是只有Troy Mursch在研究Drupal過期版本的漏洞議題,資安廠商Malwarebytes Labs也一直在關注Drupalgeddon 2漏洞被利用的情況。Malwarebytes Labs以網路裝置搜尋引擎搭配PublicWWW,對約8萬網站進行掃描,發現其中有約有900個網站確定受到入侵。大部分這些網站都託管在AWS等雲端環境,有許多都處在測試階段,雖然沒有對公眾公開,但也沒有更新或是刪除。另外,也有其他部分網站使用其他語言或是用途,但所有受害網站的交集就是過期的Drupal。

Malwarebytes Labs在客戶端發現的惡意軟體,其中有81%都是網頁挖礦程式,12.3%是假更新,剩下6.7%是技術詐騙。Malwarebytes Labs直指,2017年秋天是惡意挖礦行為最猖獗的時候,在2018年初已經有減緩的趨勢,是Drupal的漏洞重新燃起了這個趨勢。該公司提到,很明顯加密貨幣採礦是現在惡意注入攻擊首選,有許多公開以及私有的API讓這個攻擊變得容易,而且他們正被大量惡意的使用中。

受漏洞影響的網站會隨著時間增加,Malwarebytes Labs認為,CMS的漏洞修補仍然是個問題,潛在的受害網站數量的成長從來沒有停止。根據他們對8萬個網站的調查,還有三分之一的網站使用Drupal 7.3.x,而這是2015年8月釋出版本,加總7.2、7.3以及7.4這些容易受Drupalgeddon 2漏洞影響的網站數量,超過整體的一半。


Advertisement

更多 iThome相關內容