دروپال 7 عامل سرقت اسناد پاناما
مهاجمان با استفاده از آسیب‌پذیری دروپال 7 و با ایجاد نام‌های جعلی قادر به اجرای فعالیت مخرب خود در این زیرساخت هستند.
كدخبر: ۲۱۱۶۹
تاريخ: ۱۳ خرداد ۱۳۹۵ - ۱۳:۲۴
به گزارش گرداب، محققان بر این باورند که مهاجمان با استفاده از شناسه‌ی آسیب‌پذیر CVE-2014-3704 دروپال 7 «Drupal» توانایی اجرای کدهای SQL مخرب خود را در پایگاه اطلاعات MySQL که باعث به وجود آمدن مشکل در سرور می‌شود را دارند. در حال حاضر شرکت امنیتی Sucuri تأمین‌کننده امنیت زیرساخت‌های مبتنی بر وب در حال بررسی، مطالعه و نحوه فعالیت آسیب‌پذیری‌های موجود در دروپال است.

محققان امنیتی پس از تجزیه‌وتحلیل آسیب‌پذیری دروپال 7 گزارش دادند که این آسیب‌پذیری دارای قابلیت کنترل از راه دور است و هسته دروپال توسط مهاجمان از راه دور موردحمله قرار می‌گیرد. در این میان باید به این نیز توجه کرد که آسیب‌پذیری دروپال 7 توسط مهاجم محلی قادر به کنترل نیست.

پس از به وجود آمدن این آسیب‌پذیری کارشناسان امنیتی به این نتیجه رسیدند که نیاز به نسخه جدید و در حال ارائه دروپال 8 دارند. همچنین بسیاری از طراحان سایت‌های اینترنتی جهت بروز رسانی و حرکت به سمت دروپال 8 با شکست مواجه شدند. شرکت امنیتی Sucuri معتقد است که مدیران سایت‌ها و سرورها هیچ‌گونه مسئولیتی را در برابر آسیب‌پذیر بودن ساختار زیرساخت‌های خود نمی‌پذیرند.

کارشناسان امنیتی بر این باورند اسناد منتشرشده پاناما با استفاده از آسیب‌پذیری CVE-2014-3704 دروپال 7 به سرقت رفته‌اند. در این میان خطای Drupalgeddon که به‌تازگی شناسایی‌شده است نشان می‌دهد سرور دروپال 7 به کمپین باج افزارها تبدیل‌شده. از نمونه‌های بارز اسناد به سرقت رفته می‌توان به اسناد پاناما اشاره کرد.

کارشناسان شرکت Sucuri معتقدند که موج جدید حملات کشف‌شده نشان می‌دهد مهاجمان با استفاده از اسکن دروپال آسیب‌پذیر و ایجاد یک حساب کاربری admin در سرور دروپال فعالیت مخرب خود را اجرای می‌کنند.

حساب کاربری admin در سرور دروپال معمولاً با اسم‌های Derevos، Holako و Mr.R00t2_404 ساخته می‌شود که مهاجمان برای دسترسی به اسکریپت‌های نوشته‌شده از این حساب‌های کاربری استفاده می‌کنند. آسیب‌پذیری‌های قدیمی و اصلاح‌نشده قادر به ایجاد دسترسی برای مهاجمان و ایجاد پلاگین Timthumb در دروپال مورد نظر هستند.