快修補！殭屍網路鎖定Drupal漏洞大規模攻擊

安全公司Net360 Labs上周發現架站軟體Drupal的漏洞遭到感染Linux伺服器及物聯網裝置的殭屍網路攻擊，散佈挖礦程式或發動DDoS。

研究人員4月中發現Drupal編號為CVE- 2018-7600的漏洞出現大量掃瞄行為。這項漏洞早在3月底已經有修補程式，它存在於多個版本的Drupal中， 可讓攻擊者存取伺服器的URL，注入攻擊程式碼， 以完全接管伺服器，該漏洞也被稱為Drupalgaddon2。

研究人員自4月初發現Drupalgaddon2被掃瞄次數大量增加，研判至少遭遇3組惡意程式利用該漏洞散佈。 其中一個為殭屍網路惡意程式。研究人員以其二進位檔名及通訊IRC通道發現到的名稱而稱之為Muhstik。

Muhstik屬於Tsunami的變種，後者從2011年起開始散佈感染上萬Unix與Linux伺服器， 對外發動分散式阻斷攻擊（DDoS）。研究顯示，Muhstik會運用10多台C&C IP散佈，其中許多來自執行Drupal的伺服器，用以散佈7種攻擊工具，其中以發動DDoS或是在受害的伺服器上安裝XMRig及CGMiner來謀利，後兩者分別是Monero及Dash加密貨幣的挖礦程式。

研究人員指出，Muhstik存在許久，使其開採的漏洞眾多，Drupalgaddon2只是其中之一。一如Tsunami的殭屍網路特性，Muhstik會在受害機器下載掃瞄模組， 這個模組能掃瞄連網機器傳輸埠， 尋找其他有漏洞而未修補的伺服器軟體，以便用不同工具開採後遠端控制或接收回報訊息。

總計它掃瞄的傳輸埠包括80、8080、 7001、及2004，使得除了Drupal外，Webdav、 WebLogic、Webuzo、WordPress等伺服器都成為其目標，藉此在網路上散佈。Net 360 Labs下的GreyNoise Intelligence另外也發佈WebLogic伺服器漏洞開採行為有大量增加的跡象。

GreyNoise has detected a sharp increase in opportunistic exploitation of Oracle WebLogic Server, specifically CVE-2017-10271.

~1,200 devices have suddenly started broadly exploiting this vulnerability by issuing exploit requests to the "/wls-wsat/CoordinatorPortType" URL.

— GreyNoise Intelligence (@GreyNoiseIO) 2018年4月18日

Drupal維護機構已經修補存在6.x到8.x版的漏洞， 因此管理員應儘速安裝修補程式以免受害。