オープンソースのコンテンツ管理ソフトウェア「Drupal」の脆弱性を悪用する概念実証(PoC)コードが4月12日に公開され、これを利用して脆弱なシステムを標的にする攻撃が急増している。国内でも警察庁が4月18日、注意を呼び掛けた。
Drupal 7.xおよび8.xに存在するリモートコード実行の脆弱性は「Drupalgeddon 2.0(CVE-2018-7600)」と命名された。開発元が3月28日にリリースしたDrupal 7.58/8.5.1で既に修正されているが、攻撃はまだパッチを適用していないシステムを探るものが中心だ。
米Impervaによると、同社が13日時点で検知した攻撃の90%が脆弱なシステムを探るものだが、3%はバックドアの感染を狙っており、2%が仮想通貨の不正な採掘を行う「コインマイナー」の埋め込みを目的にしたものだという。攻撃元の53%は米国、45%は中国となっており、ベトナムやロシア、オランダ、カナダからの攻撃も発生しているもようだ。
4月13日時点のDrupalを狙った攻撃の内訳(出典:Imperva)
また、警察庁の観測では14日から国内でも攻撃の通信が検知されている。Impervaのレポートと同様に、脆弱性の悪用やマルウェア感染を試みるものを確認したとしている。
国内での攻撃通信の検知状況(出典:警察庁)
攻撃への対策はDrupal 7.58/8.5.1の適用だが、開発元はサポートが終了した8.3.x/8.4.xにも臨時パッチをリリースした。これらのバージョンのユーザーは、臨時パッチを適用した上で8.5.1へのバージョンアップが必要なると説明している。
