Drupal发布Drupalgeddon2补丁 遭黑客继续攻击

Drupal开发人员周一宣布，内容管理系统（CMS）的版本7.x，8.4.x和8.5.x将于本周晚些时候收到新的安全更新。

计划于4月25日16:00至18:00 UTC的Drupal核心更新将为CVE-2018-7600追踪的高度关键漏洞提供后续补丁，并称为“Drupalgeddon2”。

尽管Drupal开发人员将即将发布的安全发布描述为修复Drupalgeddon2的更新的后续版本，但单独的CVE标识符CVE-2018-7602已被分配到新的漏洞。

“对于所有安全更新，Drupal安全小组敦促您当时为核心更新预留时间，因为存在一些风险，可能会在几小时或几天内开发漏洞，” Drupal说。“安全团队或任何其他方在发布公告之前无法发布有关此漏洞的更多信息。”后续补丁来自Drupalgeddon2

Drupalgeddon2漏洞在3月下旬进行了修补，第一次攻击大约在两周后发现，不久后技术细节和概念证明（PoC）漏洞利用被公开。

虽然许多开发尝试代表了旨在识别易受攻击系统的扫描，但网络安全公司已经发现了一些利用该漏洞提供加密货币矿工，后门和其他类型恶意软件的活动。

据360Netlab称，至少有三个威胁组利用最近修补的漏洞。该公司表示，一些Drupalgeddon2攻击是由公司跟踪的一个相对较大的僵尸网络Muhstik驱动的。专家认为，Muhstik实际上是旧海啸僵尸网络的变种。

“我们注意到其中一个有蠕虫传播行为，”360Netlab在一篇博客文章中写道。“经过调查，我们认为这个僵尸网络一直活跃在一段时间。我们将其命名为muhstik，因为这个关键词在其二进制文件名和通信IRC频道中保持弹出状态。“

Muhstik使用两种主要的传播方法：aioscan扫描模块，其中包括在四个不同端口上的七个与扫描相关的有效负载，以及一个SSH扫描模块，用于查找具有弱密码的系统。

研究人员表示，该僵尸网络可以通过交付加密货币矿工（如XMRig和CGMiner），并通过使用Muhstik推出分布式拒绝服务（DDoS）攻击来帮助恶意行为者获利。

Volexity上周报道称，Monero矿工活动之一似乎与一家网络犯罪集团有关，该集团去年利用Oracle WebLogic Server（CVE-2017-10271）中的一个漏洞来感染具有加密货币恶意软件的系统。GreyNoise Intelligence已经证实了这些攻击之间的联系。