漏洞往往一经发现，很快便会被黑客们乘虚而入，即使采取了修补措施，也难以完全避免这一风险。继WinRAR ACE漏洞被黑客利用攻击后，前些天刚刚披露的Drupal漏洞也同样在劫难逃。
网络犯罪分子已经积极开始利用这一刚得到修补的安全漏洞，他们在Drupal网站上安装了加密货币矿工，这些网站尚未及时安装补丁并且仍然容易受到攻击。

Drupal漏洞上周刚得到修补

上周，流行的开源内容管理系统Drupal的开发人员在Drupal Core中修补了一个关键的远程代码执行（RCE）漏洞（CVE-2019-6340），该漏洞允许攻击者破解受影响的网站。
尽管没有发布安全漏洞的技术细节，但在Drupal安全团队推出其修补版本两天后，该漏洞的概念验证（PoC）漏洞利用代码已在互联网上公开发布。

CVE-2019-6340漏洞是由于对部分域类型的数据处理不当造成的，攻击者利用该漏洞可以执行任意的PHP代码。

Drupal的安全公告称，一些域类型没能适当处理来自非form源的数据，导致在一些情况下产生了任意的PHP代码执行漏洞。

为了利用该漏洞，攻击者需要启用核心的RESTful Web Services模块，并允许PATCH 或POST请求。如果启用了Drupal 8中的JSON:API或Drupal 7中的RESTful Web服务这类web服务模块，也可能触发该漏洞。

Drupal漏洞利用攻击

数据安全供应商Imperva的研究人员发现了一系列攻击，这些攻击是在利用CVE-2019-6340漏洞利用代码公开后一天后开始的。也就是说网络犯罪分子在仅仅在漏洞修补后3天（2月23日）就进行了针对性的攻击，反应速度之快，令人咂舌。

Imperva研究团队分析了此次攻击的流量，发现针对CVE-2019-6340漏洞的数数百次攻击尝试，目标对象包括政府和金融服务行业的网站。这些攻击的攻击者与受害者分布在世界各地。

下图显示了过去几天中观察到的CVE 2019-6340漏洞利用数量：

攻击人员试图在易受攻击的Drupal网站上注入一个名为CoinIMP的JavaScript加密货币矿工，以便为攻击者挖掘Monero和Webchain加密货币。

与臭名昭著的CoinHive服务类似，CoinIMP是一个基于浏览器的加密货币挖掘脚本，攻击者将其注入到易受攻击的Drupal网站的index.php文件中。这样一来网站访问者在浏览网站主页时，就会在不知情的情况下运行挖掘脚本并挖掘加密货币。

这不是我们第一次看到针对易受攻击的Drupal网站的攻击者利用最近修补的漏洞。去年，攻击者利用两个独立的关键远程代码执行漏洞（名为Drupalgeddon2和Drupalgeddon3），大规模攻击了Drupal网站。

在那次攻击中，黑客们同样利用了安全研究人员发布的针对Drupalgeddon2和Drupalgeddon3的概念验证（PoC）漏洞利用代码，之后进行大规模的互联网扫描和攻击尝试。

迟到总比没有好，我们强烈建议仍在运行易受攻击的Drupal版本的站点管理员通过尽快将其CMS更新，以避免任何可能的此类攻击：

如果使用的是Drupal 8.6.x，请将网站升级到Drupal 8.6.10；

如果使用的是Drupal 8.5.x或更早版本，请将网站升级到Drupal 8.5.11。

本文转自mottoin，作者Gump，点击查看原文