سایت‌های دروپالی در معرض خطر؛ هرچه‌سریع‌تر وصله‌های امنیتی نصب شوند!

این آسیب‌پذیری روی ماژول سرویس‌های وب RestFul تاثیرگذار است. ماژول restful به طراحان اجازه می‌دهد، موجودیت‌های دروپال را در قالب سرویس‌های وب Restful مشاهده کنند. نسخه‌های پیشین این ماژول (نسخه‌های 7.x-2.6 و 7.x-1.7) به مهاجمان ناشناس اجازه می‌داد درخواست‌های دستکاری شده خاصی را ارسال کرده و در ادامه کدهای PHP موردنظر خود را در سایت‌های هدف اجرا کنند.

این مشکل اولین بار از سوی دوین زوکزک گزارش شد. رخنه فوق یکی از سه آسیب‌پذیری ترمیم شده دروپال در تاریخ 13 جولای است. در ادامه یک مدل مفهومی و یک ماژول Metasploit به منظور بهره‌برداری از آن ساخته و منتشر شد. مرکز Internet Storm Center از موسسه SANS در این ارتباط گفته است: «تحلیل‌ها نشان می‌دهند که تا این لحظه هکرها همچنان در تلاش هستند تا از این آسیب‌پذیری بهره‌برداری کنند. مکانیزم‌های ظرف‌عسل (HoneyPot) ما موفق شده‌اند، 44 مورد تلاش به منظور بهره‌برداری از این آسیب‌پذیری را شناسایی کنند. به‌طوری که تنها در یک روز نزدیک به 16 آدرس IP مختلف سعی کردند، از این آسیب‌پذیری سوء استفاده کنند.»

یوهانس بی اولریچ، معاون مرکز SANS Internet Storm Center در این ارتباط گفت: «اکسپلویت‌ها به سادگی طراحی شده بودند تا یک رشته را به نمایش بگذارند. این تکنیک به ما اعلام می‌دارد، هکرها ممکن است در تلاش باشند تا سیستم‌های آسیب‌پذیر را شناسایی کنند. ما از ماه جولای این رفتارهای مشکوک هکرها را زیر نظر داشته‌ایم. با این حال نحوه بارگذاری داده‌ها در نسخه‌های قبلی به شیوه متفاوتی انجام می‌شد. تجزیه و تحلیل آدرس‌های IP که در این حمله مشارکت داشته‌اند، نشان می‌دهد، بخش عمده‌ای از این حملات سایت‌های دروپال را هدف قرار داده‌اند. به احتمال فراوان این سایت‌ها تاکنون قربانی هکرها شده‌اند و اکنون سایت‌های دیگری به منظور بهره‌برداری از آسیب‌پذیر در حال اسکن هستند. در نمونه‌برداری سریعی که من انجام دادم، هیچ‌گونه محتوای مخربی در این سایت‌ها مشاهده نکردم. انتظار داشتم یکسری تبلیغات یا حتا محتوای بدافزاری را در این سایت‌ها مشاهده کنم. اما این‌گونه نیست، با این وجود من بر این باور هستیم که این آرامش قبل از طوفان است و هکرها در حال آماده‌سازی و ساخت شبکه‌های نفوذ ویژه خود هستند.»

آسیب‌پذیری‌های دروپال اغلب توسط مجرمان سایبری مورد بهره‌برداری قرار می‌گیرد. حتا بعد از آن‌که وصله‌های لازم برای این آسیب‌پذیری‌ها ارائه می‌شود. شرکت Sucuri به تازگی گزارش کرده است، آسیب‌پذیری تزریق کد SQL که نزدیک به دو سال پیش وصله شد و به نام Drupalgeddon معروف بود، همچنان مورد بهره‌برداری قرار می‌گیرد و به عاملی تبدیل شده است که زمینه‌ساز هک شدن سایت‌ها می‌شود. این آسیب‌پذیری باعث شده است بر تعدد حملات اسپم سئو که سایت‌های دروپال 7  را هدف قرار داده‌اند، افزوده شود.