資安研究員Troy Mursch表示,有超過約10萬網站為更新Drupal版本,而存在Drupalgeddon 2漏洞,而資安廠商Malwarebytes Labs經調查,也發現極大比例網站不只存在Drupalgeddon 2漏洞還已經被駭。
內容管理系統Drupal在今年爆出客戶端程式碼執行漏洞Drupalgeddon 2,雖然官方已經釋出修正版本,但是根據研究,還有超過10萬個Drupal網站沒有更新,其中許多已經被入侵且植入惡意挖礦程式,不乏許多知名網站或政府機構網頁。
資安研究員使用程式碼搜尋引擎PublicWWW找到約50萬個使用Drupal 7的網站,經過對這些網站進行掃描後,發現有115,070個使用容易被攻擊的老舊Drupal版本,134,447個網站沒有漏洞,而有225,056個網站無法確定Drupal版本。Drupal版本至少要到7.58才不會受到Drupalgeddon 2漏洞影響。
Drupal安全小組則認為,原先的研究方法存在問題,因為判別Drupal版本是根據網站上公開的CHANGELOG.txt,但可能在這115,070被認為容易受攻擊的網站,已經做了相對應用的措施。對此研究員回應,要嘗試入侵50萬個網站絕對是非法的行為,因此無法採取更進一步的方法來證明這些網站都是易受入侵的,而他也認為,這115,070個網站使用過時的Drupal版本,本來就非維護網站安全的最佳實踐。
另外,資安廠商Malwarebytes Labs也一直在關注Drupalgeddon 2漏洞被利用的情況。Malwarebytes Labs以網路裝置搜尋引擎搭配Public WWW,對約8萬網站進行掃描,發現其中有約有900個網站確定受到入侵。大部分這些網站都託管在AWS等雲端環境,有許多都處在測試階段,雖然沒有對公眾公開,但也沒有更新或是刪除。另外,也有其他部分網站使用其他語言或是用途,但所有受害網站的交集就是過期的Drupal。
Malwarebytes Labs在客戶端發現的惡意軟體,其中有81%都是網頁挖礦程式,12.3%是假更新,剩下6.7%是技術詐騙。Malwarebytes Labs直指,2017年秋天是惡意挖礦行為最猖獗的時候,在2018年初已經有減緩的趨勢,是Drupal的漏洞重新燃起了這個趨勢。該公司提到,很明顯加密貨幣採礦是現在惡意注入攻擊首選,有許多公開以及私有的API讓這個攻擊變得容易,而且他們正被大量惡意的使用中。
受漏洞影響的網站會隨著時間增加,Malwarebytes Labs認為,CMS的漏洞修補仍然是個問題,潛在的受害網站數量的成長從來沒有停止。
參考資料來源:https://www.ithome.com.tw/news/123757
欲詳細了解產品資訊請拜訪:
正新電腦 http://www.pronew.com.tw/ 04-24738309
