آسیب‌پذیری اجرای کد از راه دور Drupalgeddon2 در سیستم مدیریت محتوای دروپال که بیش از یک سال و نیم گذشته برطرف شد، همچنان مورد سوء‌استفاده مهاجمان است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آسیب‌پذیری بحرانی Drupalgeddon2 که با شناسه CVE-۲۰۱۸-۷۶۰۰ ردیابی می‌شود، اخیرا توسط فایل‌های GIF مخرب مورد سوء‌استفاده قرار گرفته‌است. این نقص امنیتی که با دسترسی از راه دور مورد بهره‌برداری قرار می‌گیرد، منجر به اجرای کد دلخواه و سرقت داده یا وب‌سایت می‌شود.

این آسیب‌پذیری نسخه‌های دروپال ۷,۵۸ و پایین‌تر، ۸.x قبل از ۸.۳.۹، ۸.۴.x قبل از ۸.۴.۶ و ۸.۵.x قبل از ۸.۵.۱ را تحت‌تاثیر قرار می‌دهد. در زمان کشف این آسیب‌پذیری، دروپال تخمین زد که بیش از یک‌میلیون وب‌سایت دروپال آسیب‌پذیر هستند. بهره‌برداری برای Drupalgeddon2 طی چند روز توسعه یافت. بیش از یک سال‌و‌نیم پیش یک وصله برای آن صادر شد و از صاحبان سایت‌های دروپالی خواسته شد که به سرعت نسخه‌های سایت خود را به روز کنند. با این حال، به نظر می‌رسد همه سایت‌های دروپالی این به‌روزرسانی را اعمال نکرده‌اند. اخیرا Akamai اعلام کرده است که مهاجمین در حال بهره‌برداری از این آسیب‌پذیری از طریق فایل‌های GIF هستند.

فایل GIF مخرب حاوی کد PHP مبهم‌سازی شده و بسته‌های نرم‌افزاری مخرب با کدگذاری base۶۴ است. پس از اجرای کد مخرب در دامنه‌های آسیب‌پذیر، از این باگ برای استقرار بدافزار قادر به اسکن فایل و سرقت اطلاعات احرازهویت، ارسال ایمیل‌های حاوی اطلاعات به سرقت رفته به مهاجمان و جایگزینی فایل‌های htaccess استفاده می‌شود. علاوه بر این، کد مخرب سعی در نمایش فایل‌های پیکربندی MySQL my.cnf دارد. بخش دیگری از بدافزار موجود در فایل GIF، یک اسکریپت Perl است که دارای قابلیت انجام حمله انکار سرویس (DoS) و تروجان با دسترسی راه دور (RAT) است.

بهره‌برداری ساده و از راه دور اکسپلویت Drupalgeddon2 باعث می‌شود مهاجمان، اسکن‌ها و حملات خود را بر روی سیستم‌های به‌روز نشده و قدیمی به‌طور خودکار انجام دهند. به‌روزرسانی و اعمال وصله‌های دروپال به‌طور مداوم از سوء‌استفاده مهاجمان از این سیستم مدیریت محتوا جلوگیری می‌کند.