内容管理系统Drupal在2018年3月爆出代号为CVE-2018-7600的客户端程序代码执行漏洞Drupalgeddon 2,虽然官方已经发布修正版本,但是根据研究,还有超过10万个Drupal网站没有更新,其中许多已经被入侵且植入恶意挖矿程序,不乏许多知名网站或是政府机构网页。
网络安全研究员Troy Mursch使用程序代码搜索引擎PublicWWW找到约50万个使用Drupal 7的网站,经过他对这些网站进行扫描后,发现有115,070个使用容易被攻击的老旧Drupal版本,134,447个网站没有漏洞,而有225,056个网站无法确定Drupal版本。 Troy Mursch提到,Drupal版本至少要到7.58才不会受到Drupalgeddon 2漏洞影响。
Drupal安全小组则认为,Troy Mursch的研究方法存在问题,因为他判别Drupal版本是根据网站上公开的CHANGELOG.txt,但可能在这115,070被Troy Mursch认为容易受攻击的网站,已经做了相对应用的措施。对此Troy Mursch回应,要尝试入侵50万个网站绝对是非法的行为,因此他无法采取更进一步的方法,来证明这些网站都是易受入侵的,而他也认为,这115,070个网站使用过时的Drupal版本,本来就非维护网站安全的最佳实践。
另外,也不是只有Troy Mursch在研究Drupal过期版本的漏洞议题,网络安全厂商Malwarebytes Labs也一直在关注Drupalgeddon 2漏洞被利用的情况。 Malwarebytes Labs以网络设备搜索引擎搭配PublicWWW,对约8万网站进行扫描,发现其中有约有900个网站确定受到入侵。大部分这些网站都托管在AWS等云计算环境,有许多都处在测试阶段,虽然没有对公众公开,但也没有更新或是删除。另外,也有其他部分网站使用其他语言或是用途,但所有受害网站的交集就是过期的Drupal。
Malwarebytes Labs在客户端发现的恶意软件,其中有81%都是网页挖矿程序,12.3%是假更新,剩下6.7%是技术诈骗。 Malwarebytes Labs直指,2017年秋天是恶意挖矿行为最猖獗的时候,在2018年初已经有减缓的趋势,是Drupal的漏洞重新燃起了这个趋势。该公司提到,很明显加密货币采矿是现在恶意注入攻击首选,有许多公开以及私有的API让这个攻击变得容易,而且他们正被大量恶意的使用中。
受漏洞影响的网站会随着时间增加,Malwarebytes Labs认为,CMS的漏洞修补仍然是个问题,潜在的受害网站数量的成长从来没有停止。根据他们对8万个网站的调查,还有三分之一的网站使用Drupal 7.3.x,而这是2015年8月发布版本,加总7.2、7.3以及7.4这些容易受Drupalgeddon 2漏洞影响的网站数量,超过整体的一半。