В конце марта 2018 года разработчики CMS Drupal пошли на не совсем обычный шаг и анонсировали скорый выход патчей для некой «чрезвычайно критической» уязвимости. Тогда разработчики CMS попросили администраторов подготовиться к выходу патчей заранее и установить обновления сразу же, как только те станут доступны.
Вскоре стало ясно, что опасения у авторов Drupal вызвал баг CVE-2018-7600, которому в сети тут же дали имя Drupalgeddon2 – в честь старой уязвимости Drupalgeddon (CVE-2014-3704, SQL-инъекция), обнаруженной в 2014 году и тогда ставшей причиной взлома множества сайтов под управлением Drupal.
Уязвимость позволяет атакующему выполнить произвольный код в самом «сердце» CMS, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику не потребуется регистрация, аутентификация и какие-либо сложные манипуляции. Фактически, достаточно просто обратиться к определенному URL-адресу.
На прошлой неделе стало известно, что тревоги разработчиков не были напрасны: эксперты сообщили, что злоумышленники уже активно эксплуатируют новый баг. В частности, специалисты Qihoo 360 Netlab пишут, что уязвимость взял на вооружение крупный ботнет Muhstik, и еще несколько бот-сетей на базе Tsunami. Преступники используют скомпрометированные ресурсы для DDoS-атак или установки майнеров XMRig и CGMiner (для добычи Monero и Dash соответственно).
В понедельник, 23 апреля 2018 года, разработчики Drupal анонсировали скорый выход еще одного внеочередного критического обновления, которое станет дополнением для уже вышедшего патча для проблемы Drupalgeddon2. Равно как и в прошлый раз, администраторов просят подготовиться к релизу заранее. Исправления будут выпущены 25 апреля, в 16:00 и 18:00 UTC, для Drupal 7.x, 8.4.x и 8.5.x.
Хотя в анонсе сказано, что патч лишь дополняет уже вышедший ранее фикс, проблеме, тем не менее, присвоен новый идентификатор CVE-2018-7602. Никаких подробностей, по понятным причинам, пока опубликовано не было, но, судя по всему, можно предположить, что первый патч для Drupalgeddon2 оказался не до конца эффективен.