黑客发布Drupal内容管理系统（CMS）验证（PoC）利用漏洞 Drupalgeddon2

Drupal开发人员推出了一项更新，以解决CVE-2018-7600，这是一个非常关键的远程代码执行缺陷，可用于充分控制网站。安全漏洞影响Drupal 6,7和8，并且针对每个受影响版本都发布了修补程序 - 自2016年2月起不再支持Drupal 6，但仍创建了修补程序。

当时的专家警告说，开发这种被称为Drupalgeddon2的漏洞即将发生。然而，概念验证（PoC）漏洞利用大约需要两周时间才能公开发布。

Dofinity的Check Point和Drupal专家的研究人员共同发现了这个漏洞，并在周四发布了详细的技术分析。

“简而言之，Drupal在Form API（FAPI）AJAX请求方面的输入环境不足，”他们在Check Point博客的一篇文章中解释道。“因此，这使得攻击者可能将恶意有效载荷注入内部表单结构。这会导致Drupal在没有用户认证的情况下执行它。通过利用此漏洞，攻击者可以对任何Drupal客户进行全面的网站收购。“

Check Point和Dofinity发表了他们的分析后不久，Vitalii Rudnykh 在GitHub上发布了一个PoC，用于“教育或信息目的”，其他人证实其功能。一旦PoC公布，Sucuri和SANS互联网风暴中心开始尝试利用Drupalgeddon2。

在撰写本文时，没有任何有关通过CVE-2018-7600攻击网站的报告。攻击者显然是扫描网络搜索易受攻击的服务器。SANS研究人员发现的有效载荷使用简单的命令，例如echo，phpinfo，whoami和touch。

包括Cloudflare的Web应用防火墙（WAF）在内的Web安全服务应该能够阻止利用此漏洞的攻击。

ISC经理凯文利斯顿说：“漏洞尝试目前正以相当快的速度增长。Sucuri创始人兼首席技术官Daniel Cid也警告说，利用尝试次数预计会增加。

2014年10月披露的原始Drupalgeddon漏洞在补丁发布7小时后首次被利用，并且网络犯罪分子至少再用了两年时间。