В июле 2016 года разработчики популярной CMS Drupal представили патчи для ряда RCE-уязвимостей в составе трех различных модулей. Баги были обнаружены и исправлены в RESTful Web Services, Coder и Webform Multiple File Upload. Теперь представители SANS Technology Institute предупреждают, что злоумышленники начали прицельно охотиться на уязвимые Drupal-сайты, где все еще не исправлен один из этих багов.
Серверы-ловушки SANS Technology Institute, работающие специально для выявления атак, обнаружили, что за последние два месяца хакеры начали активно сканировать сеть, в поисках модуля RESTful Web Services в составе установок Drupal 7.x. Все версии данного модуля младше 7.x-2.6 и 7.x-1.7 уязвимы для исполнения произвольного кода. Так как для данной проблемы был представлен не только proof-of-concept эксплоит, но и соответственный модуль Metasploit, интерес хакеров вполне понятен, а также понятно, почему из всех уязвимостей была выбрана именно проблема в RESTful Web Services.
Специалисты SANS Technology Institute сообщили, что попытки эксплуатации проблемы начались в июле 2016 года, сразу после того, как информация об уязвимости была раскрыта. На данный момент серверы-ловушки зафиксировали 44 попытки атак с 16 различных IP-адресов. Эксперты пишут, что попытки атак осуществлялись с серверов веб-хостинга, на которых тоже размещаются сайты под управлением Drupal. Из этого исследователи делают вывод, что злоумышленники прицельно ищут уязвимые Drupal-сайты, взламывают их, а затем используют для атак на другие ресурсы и сокрытия своих настоящих IP-адресов.
При этом на скомпрометированных ресурсах не было обнаружено какой-либо малвари, вредоносной рекламы и прочих, обычных в таких случаях, признаков взлома. Исследователи SANS Technology Institute предполагают, что неизвестные злоумышленники строят ботнет, но пока стараются скрывать свое присутствие от владельцев скомпрометированных сайтов.