Drupal漏洞发布7小时内遭自动化攻击,上百万网站经历生死时

  Drupal是今天新闻、博客等内容网站最流行的内容管理平台之一,和安全牛之前报道过的影响170万网站的wordpress插件漏洞一样,Drupal近日也爆出一个影响上百万网站的严重安全漏洞,更糟糕的是漏洞发布7小时内就遭受自动化攻击,这意味着大量Drupal网站都无法幸免。

  昨天Drupal发出紧急通知:

  10月15日一个Drupal平台的SQL注入漏洞在公布7小时内遭受黑客大规模自动化攻击,所有在该漏洞发布7小时内没有及时更新补丁或升级到Drupal 7.32版本的用户都可能已经遭受攻击。

  根据Drupal的官方紧急安全通告,制造麻烦的SQL注入漏洞代号SA-CORE-2014-005,危险等级为25/25最高级别安全漏洞。Drupal建议所有Drupal网站立刻升级到7.32版本,但有些闹心的是,这样对于已经被攻击的网站来说于事无补,正如文章开头提到的,15日漏洞发布7小时内没有即使打补丁或者升级的网站都需要将数据回滚到15日之前的备份,这意味着大量没有及时打补丁的网站15-30日之间更新的内容需要重新上传。

  讽刺的是,该SQL注入漏洞恰恰存在于Drupal自己的SQL注入防护技术中:

  Drupal 7提供了一个数据库抽象API来过滤数据库查询执行指令,防止SQL注入攻击。

  但这个API的一个漏洞允许攻击者发送特定请求获得数据库的控制权限,例如篡改或删除内容,传播恶意软件,发起“水源地攻击”等。

  根据W3Techs的统计,目前全球有1.9-5.1%的网站使用Drupal,其中65%安装了Drupal 7,按照全球约10亿网站计算,至少有120万网站面临Drupal漏洞攻击的威胁。

  安全牛点评:随着攻击的自动化和智能化,漏洞发布到黑客攻击之间的升级补丁窗口期变得越来越短,Drupal的SQL注入漏洞7小时之内遭受大规模自动化攻击就为广大信息安全人士敲响了警钟,此前Shellshock漏洞的发布也导致了大量攻击事件的发生,这需要安全界反思目前“简单粗暴”的漏洞发布机制。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:Linux/Unix中开源应用wget发现严重安全漏洞