オープンソースのコンテンツ管理ソフトウェア「Drupal」の脆弱性を悪用する概念実証(PoC)コードが米国時間の4月12日、Githubに公開された。米セキュリティ機関のSANS Internet Storm Center(ISC)やCheck Point Software Technologyが注意を呼び掛けている。
PoCが公開された脆弱性は、Drupalの開発チームが3月28日に公開したアップデートのDrupal 7.58および8.5.1で修正されたリモートコード実行の脆弱性「CVE-2018-7600」。脆弱性はDrupal 7.xおよび8.xの複数のサブシステムに存在し、悪用された場合はDrupalで管理するウェブサイトなどが侵害される恐れがある。開発チームはアップデートのリリース予告で、アップデート公開直後に攻撃が発生する可能性を指摘していた。
Check Pointによれば、Drupalで管理されたウェブサイトは世界に100万以上あり、政府機関や金融、小売などのエンタープライズ組織でも広く導入されている。同社では、PoCに基づいた攻撃シナリオについてもブログで紹介。またSANS ISCは、脆弱なサーバを探す攻撃の発生を確認したとしている。
Drupalの開発チームでは、既にサポートが終了している8.3.xおよび8.4.xについては臨時パッチを提供しており、ユーザーにこれらを適用した上で迅速に8.5.1へアップデートするよう勧告。脆弱性はDrupal 8.2.x以前の古いバージョンにも影響するが、臨時パッチは提供されず、最新版へのアップデートが必須となる。
