黑客积极利用上周发布的最新Drupal RCE漏洞

上周，流行的开源内容管理系统Drupal的开发人员修补了Drupal Core中的一个关键远程代码执行（RCE）漏洞（CVE-2019-6340），该漏洞可能允许攻击者入侵受影响的网站。

尽管没有公布有关该安全漏洞的技术细节，但Drupal安全团队发布其软件补丁版本仅仅两天后，该漏洞的概念验证（PoC）攻击代码就在互联网上公开。

现在，数据中心安全供应商Imperva的安全研究人员发现了一系列攻击，这是在漏洞代码公开一天后开始的，利用CVE-2019-6340安全漏洞攻击其客户网站。

这些攻击源自多个攻击者，一些国家发现攻击目标是易受攻击的Drupal网站，包括政府和金融服务行业的网站，这些网站仍然容易受到最近修补的Drupal核心漏洞的攻击。

据研究人员称，攻击始于2月23日，也就是Drupal开发人员修补漏洞的三天后，并试图在易受攻击的Drupal网站上注入名为CoinIMP的JavaScript加密货币矿工，为攻击者挖掘Monero和Webchain加密货币。

与臭名昭著的CoinHive服务类似，CoinIMP是一个基于浏览器的加密货币挖掘脚本，攻击者将其注入索引中。易受攻击的Drupal网站的php文件，以便网站访问者在浏览网站主页时运行挖掘脚本并挖掘加密货币。
这不是我们第一次看到攻击者利用最近修补的漏洞攻击易受攻击的Drupal网站。

去年，攻击者利用两个独立的关键远程代码执行漏洞（分别称为Drupalgeddon2和Drupalgeddon3）对数十万Drupal网站进行大规模攻击。

在这种情况下，安全研究人员发布了互联网上Drupalgeddon2和Drupalgeddon3漏洞的PoC攻击代码后，攻击就开始了，随后进行了大规模的互联网扫描和攻击尝试。

上周发布的最新Drupal版本解决了这个关键的远程代码执行漏洞，黑客新闻在通知您的同时，还警告读者Drupal漏洞在黑客中非常流行，您需要尽快更新CMS。

由于迟做总比不做强，强烈建议仍在运行易受攻击的Drupal版本的网站管理员尽快将其CMS更新为Drupal 8.6.10或Drupal 8.5.11，以避免漏洞攻击。

然而，如果你的网站已经被入侵，仅仅更新Drupal网站不会删除“后门或恶意软件代码”要完全解决这个问题，建议您遵循Drupal指南。

上周，Check Point还披露了流行的WinRAR软件中存在的一个19年前的RCE漏洞，该漏洞也被发现在野生环境中积极利用，在仍运行该软件易受攻击版本的计算机上安装恶意软件。