แฮ็กเกอร์ใช้ช่องโหว่ Drupalgeddon 2 ติดตั้ง Backdoor และตัวขุดเหมืองแนะผู้ใช้รีบอัปเดต

หลังจากที่มีนักวิจัยชาวรัสเซียคนหนึ่งได้ออกโค้ด POC สำหรับช่องโหว่ Drupalgeddon 2 ออกมา ไม่นานนักกลุ่มแฮ็กเกอร์ก็เริ่มประยุกต์ใช้ข้อมูลนี้เพื่อสแกนค้นหาฌเซิร์ฟเวอร์ที่มีช่องโหว่และบางส่วนก็ประสบความสำเร็จในการติดตั้ง Backdoor และ ตัวขุดเหมืองไปเรียบร้อยแล้วด้วย ซึ่งคาดว่าการโจมตียังอยู่ในช่วงเริ่มต้นเท่านั้น

ช่องโหว่หมายเลข CVE-2018-7600 นั้นส่งผลกระทบกับ Drupal ( Content Management System เช่น บริหารจัดการเว็บเพจ บล้อก หรืออื่นๆ) เวอร์ชันก่อน 7.58, เวอร์ชัน 8.x ก่อน 8.3.9, เวอร์ชัน 8.4.x ก่อน 8.4.6 และ 8.5.x ก่อน 8.5.1 ซึ่งช่องโหว่นี่ทำให้เกิด Remote Code Execution ได้โดยไม่ต้องพิสูจน์ตัวตนบนไซต์เพียงแค่ใช้งานผ่าน URL เท่านั้น ซึ่งทางทีมงาน Drupal ได้แนะนำให้อัปเดตเป็นเวอร์ชัน 7.58 หรือ 8.5.1 ซึ่งได้รับการปิดช่องโหว่แล้ว

อย่างไรก็ตามหลังจากโค้ด POC ถูกปล่อย (GitHub) ออกมามีรายงานหลายแห่งว่าแฮ็กเกอร์เริ่มทำการทดสอบเพื่อค้นหาระบบที่มีช่องโหว่ ซึ่งแม้ว่ายังไม่มีจำนวนมากนักอ้างจากสถิติของ Imperva มีเพียง 2-3% เท่านั้นที่สามารถติดตั้ง Backdoor หรือ ตัวขุดเหมืองได้สำเร็จและ 90% ไม่ประสบผลสำเร็จในการสแกน แต่ก็เป็นที่จับตามองของนักวิจัยหลายฝ่ายว่าน่าจะเป็นเพียงขั้นทดลองหรือประยุกต์ใช้งานเท่านั้นและคาดว่ากลุ่มแฮ็กเกอร์กำลังมุ่งเป้ามาที่ช่องโหว่นี้แน่นอน

ที่มา : https://www.bleepingcomputer.com/news/security/drupalgeddon-2-vulnerability-used-to-infect-servers-with-backdoors-and-coinminers/ และ https://www.bleepingcomputer.com/news/security/drupal-fixes-drupalgeddon2-security-flaw-that-allows-hackers-to-take-over-sites/