Δεκαεννέα μήνες μετά την ανακάλυψή της και της δημιουργίας patch, η CVE-2014-3704, μια κρίσιμη Drupal ευπάθεια, εξακολουθεί να είναι δημοφιλής και χρησιμοποιείται σε καθημερινή βάση για την έκθεση Drupal ιστοσελίδων.
Η CVE-2014-3704 επηρεάζει όλες τις Drupal 7.x εγκαταστάσεις πριν από την έκδοση 7.32 και πρόκειται για ένα SQL injection στην MySQL βάση δεδομένων που κλιμακώνει τα προνόμια του εισβολέα, έτσι ώστε να μπορεί να εκτελέσει κώδικα στον server.
Η Sucuri, μια εταιρεία που παρέχει προϊόντα ασφαλείας με βάση στο Web, λέει ότι ακόμα εντοπίζει αυτή την ευπάθεια στα εκτεθειμένα sites που καθαρίζει κάθε μέρα.
Παρά το γεγονός ότι το Drupal project έφτασε στην έκδοση 8 αυτό το χειμώνα, οι περισσότεροι webmasters έχουν αποτύχει να κάνουν ενημέρωση και συνεχίζουν να είναι ευάλωτοι σε αυτό το bug, στο οποίο οι ερευνητές ασφαλείας έδωσαν το παρατσούκλι Drupalgeddon λόγω της σοβαρότητας του. Όταν η DrupaΙ core team το ανακοίνωσε, είπε ότι οι webmasters “θα πρέπει να προχωρούν με την παραδοχή ότι κάθε DrupaΙ 7 ιστοσελίδα έχει τεθεί σε κίνδυνο.”
Δυστυχώς, η έκθεση της Sucuri αποδεικνύει για άλλη μια φορά το μεγάλο αριθμό των στόχων με ξεπερασμένα DrupaΙ sites και την έλλειψη οποιασδήποτε ευθύνης ή προσοχής σε ενημερώσεις ασφαλείας από τους webmasters αυτών των servers.
Το Drupalgeddon bug είχε πρόσφατα χρησιμοποιηθεί σε μια ransomware καμπάνια που στόχευε DrupaΙ ιστοσελίδες, αλλά είναι επίσης στο επίκεντρο της πρόσφατης παραβίασης του Panama Papers, επιτρέποντας σε έναν hacker να κλέψει αρχεία από τον Mossack Fonseca server εγγράφων, που τρέχει μια unpatched εγκατάσταση του DrupaΙ.
Η Sucuri λέει ότι στο πιο πρόσφατο κύμα επιθέσεων που ανιχνεύθηκε, οι hackers χρησιμοποιούν αυτοματοποιημένα σενάρια για τη σάρωση για ευάλωτων DrupaΙ ιστοσελίδων και στη συνέχεια, αναπτύσσουν το SQL injection bug για να δημιουργήσουν ένα λογαριασμό διαχειριστή στους ευάλωτους Drupal servers.
Αυτοί οι λογαριασμοί διαχειριστή συνήθως έχουν το όνομα Derevos, Holako και Mr.R00t2_404 και οι επιτιθέμενους τους χρησιμοποιούν για να αποκτήσουν πρόσβαση στο site, χειροκίνητα ή μέσω κάποιου άλλου αυτοματοποιημένου προγράμματος.
Η Sucuri λέει ότι οι επιτιθέμενοι συνήθως αφήνουν πίσω τους SEO Spam προκειμένου να μολύνουν την κατάταξη στις μηχανές αναζήτησης και τα αποτελέσματα αναζήτησης.
Παλιές και unpatched ευπάθειες επηρεάζουν και το WordPress, όπου η Sucuri αποκάλυψε ότι οι επιτιθέμενοι προτιμούν τη χρήση της τεσσάρων ετών ευπάθειας στο TimThumb plugin για να εκθέσει τα WP sites.
