Dua bulan setelah Drupal merilis patch untuk celah keamanan yang sangat kritis, ada lebih dari 115.000 situs Drupal yang gagal/belum memasang patch.

Perkiraan ini berasal dari Troy Mursch, seorang peneliti keamanan yang berbasis di AS, yang menghabiskan beberapa hari terakhir untuk memindai Internet untuk semua situs yang menjalankan versi Drupal 7.x.

Mursch dapat menemukan lebih dari 500.000 situs ini, dan dia mengatakan bahwa dia dapat mengidentifikasi 115.070 situs web yang menjalankan versi Drupal 7.x yang rentan terhadap CVE-2018-7600, juga dikenal sebagai Drupalgeddon 2.

Drupalgeddon 2

CVE-2018-7600 adalah celah keamanan yang terungkap pada akhir Maret 2018 dan dianggap sebagai salah satu kelemahan keamanan paling parah yang mempengaruhi Drupal sejak kerentanan Drupalgeddon pertama ditemukan pada tahun 2014.

Kerentanan memungkinkan penyerang untuk mengambil alih situs hanya dengan mengakses URL yang salah, dan tidak memerlukan autentikasi. Patch yang dibuat tersedia untuk versi Drupal 6.x, 7.x, dan 8.x.

Pemindaian Mursch tidak mencari situs Drupal yang menjalankan versi 6.x dan 8.x, tetapi 500.000 situs yang berhasil diidentifikasi dan dipindai diyakini setengah dari semua situs Drupal yang digunakan saat ini.

Peluncuran cryptojacking Drupal telah meluas

Peretas mulai mengeksploitasi kerentanan Drupalgeddon 2 dua minggu setelah patch keluar karena sebagian besar peretas tidak tahu cara mengeksploitasi kerentanan. Upaya eksploitasi dimulai segera setelah penerbitan kode proof-of-concept publik.

Sejak itu, kerentanan telah digunakan untuk menginfeksi server dengan backdoor, coinminer, cryptojacker, dan botnet malware IoT. Mursch sendiri sebelumnya menemukan peluncuran cryptojacking besar menggunakan Drupalgeddon 2 untuk menginfeksi kode frontend situs dengan penambang di-browser.

Dalam laporan yang diterbitkan hari ini, Mursch mengatakan bahwa peluncuran cryptojacking tidak berhenti setelah laporan pertamanya tetapi sebenarnya menjadi diperluas.

Peneliti menerbitkan spreadsheet Google Docs pada awal Mei untuk melacak peluncuran asli, tetapi sekarang, spreadsheet mencakup data pada beberapa peluncuran serangan yang berbeda dan ribuan situs Drupal yang dikompromikan.