研究发现还有十万网站使用含有漏洞的DRUPAL管理系统

年初时全球知名内容管理系统DRUPAL被发现存在高危漏洞,攻击者通过该漏洞可以直接远程执行任意代码。

虽然DRUPAL官方早已发布修复漏洞的新版本,但时至今日全球依然还有数十万个网站使用含有漏洞的旧版。

准确地数据是使用含有漏洞的旧版网站高达 115,070个,这些网站都可以被黑客极其轻松的攻陷和窃取数据。

DRUPAL官方不认同此数据:

虽然研究人员扫描出如此多的网站在使用旧版本,但是DRUPAL官方认为研究人员的扫描方法和结果不准确。

原因在于研究人员通过扫描 CHANGELOG 日志文件来提取版本号,对于受影响版本号则认为尚未进行更新

而DRUPAL官方认为有的网站已经在相应的处理只是没有修订版本号,因此并不能认为网站就肯定没有更新

研究人员称如果需要更准确地判断是否影响则需要通过攻击的方法,但攻击五十万个DRUPAL网站肯定违法。

因此现在除这种判断方法外其实也并没有什么办法能够统计,只有网站管理员们尽早升级到最新版本才可以。

安全厂商也在追踪漏洞:

除上述研究人员外安全厂商Malwarebytes 旗下实验室同样在追踪漏洞,通过搜索引擎和相对规则进行匹配。

该安全实验室扫描约八万个网站发现有900个网站确定受到影响, 大部分网站都是托管在亚马逊这类云服务。

而且有很多网站都是处于测试阶段并未公开发布,因此相对来说只会影响到这些使用DRUPAL网站的服务器。

攻击者可以借助漏洞在服务器上获得管理权限并执行恶意代码,例如安装挖矿软件进行挖矿或者偷窃数据等。

本文来源 BadPackets,由 山外的鸭子哥 整理编辑,其版权均为 BadPackets 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

发表评论