W dniu 28 marca 2018 roku, firma Drupal opublikowała aktualizacje bezpieczeństwa, łatające wysoce krytyczną podatność CVE-2018-7600, o czym Zespół CERT już informował.

Drupal to system zarządzania treścią o otwartym kodzie źródłowym (CMS), który jest używany przez ponad milion witryn na całym świecie (w tym strony rządowe, sklepy internetowe, instytucje finansowe i inne). Wszystkie są podatne na ataki, chyba że zostały odpowiednio szybko załatane.

Luka, ze względu na zagrożenie, jakie za sobą niesie, została nazwana Drupalgeddon2 (z dwójką, ponieważ poprzednio nazwa Drupalgeddon została nadana w 2014 roku, kiedy ostatnio wykryto aż tak poważną lukę). Podatność została określona przez zespół bezpieczeństwa Drupal jako wysoce krytyczna i z tego względu nie ujawniono szczegółów technicznych. Potencjalny atakujący nie musi się uwierzytelniać w serwisie jako administrator, ani nawet jako zalogowany użytkownik. Wystarczy mu dostęp do przeglądarki. Poprzez modyfikację adresu URL można usunąć lub modyfikować dane.

Obecnie istnieje już exploit wykorzystujący Drupalgeddon2 i jest szeroko udostępniany. Większość, bo około 90% ataków Drupalgeddon2 opiera się tylko na skanowaniu IP w celu znalezienia wrażliwych systemów, 3% to próby infekcji, a 2% atakujących próbuje uruchomić koparki kryptowalut w przeglądarkach.

CERT PSE zachęca administratorów, którzy jeszcze tego nie zrobili do jak najszybszej aktualizacji: Drupal core – Highly critical – Remote Code Execution – SA-CORE-2018-002

Pojawił się również ważny komunikat, mówiący o tym, że jeśli okaże się, że witryna jest już załatana, ale nikt z administratorów nie dokonywał tej aktualizacji, może to niestety oznaczać, że witryna została przejęta. Niektórzy atakujący po przejęciu strony, sami instalują tę poprawkę, aby zagwarantować sobie pełną kontrolę strony.