Drupal 漏洞發布7小時內遭自動化攻擊，上百萬網站經歷生死時速

Drupal是今天新聞、博客等內容網站最流行的內容管理平臺之一，和安全牛之前報道過的影響170萬網站的wordpress插件漏洞一樣，Drupal近日也爆出一個影響上百萬網站的嚴重安全漏洞，更糟糕的是漏洞發布7小時內就遭受自動化攻擊，這意味著大量Drupal網站都無法幸免。

昨天Drupal發出緊急通知：

10月15日一個Drupal平臺的SQL注入漏洞在公布7小時內遭受黑客大規模自動化攻擊，所有在該漏洞發布7小時內沒有及時更新補丁或升級到Drupal 7.32版本的用戶都可能已經遭受攻擊。

根據Drupal的官方緊急安全通告，制造麻煩的SQL注入漏洞代號SA-CORE-2014-005,

危險等級為25/25最高級別安全漏洞。Drupal建議所有Drupal網站立刻升級到7.32版本，但有些鬧心的是，這樣對于已經被攻擊的網站來說于

事無補，正如文章開頭提到的，15日漏洞發布7小時內沒有即使打補丁或者升級的網站都需要將數據回滾到15日之前的備份，這意味著大量沒有及時打補丁的網 站15-30日之間更新的內容需要重新上傳。</p>

諷刺的是，該SQL注入漏洞恰恰存在于Drupal自己的SQL注入防護技術中：

Drupal 7提供了一個數據庫抽象API來過濾數據庫查詢執行指令，防止SQL注入攻擊。

但這個API的一個漏洞允許攻擊者發送特定請求獲得數據庫的控制權限，例如篡改或刪除內容，傳播惡意軟件，發起“水源地攻擊”等。

根據W3Techs的統計，目前全球有1.9-5.1%的網站使用Drupal，其中65%安裝了Drupal 7，按照全球約10億網站計算，至少有120萬網站面臨Drupal漏洞攻擊的威脅。

 安全牛點評：隨著攻擊的自動化和智能化，漏洞發布到黑客攻擊之間的升級補丁窗口期變得越來越短，Drupal的SQL注入漏洞7小時之內遭受大規模自動化攻擊就為廣大信息安全人士敲響了警鐘，此前Shellshock漏洞的發布也導致了大量攻擊事件的發生，這需要安全界反思目前“簡單粗暴”的漏洞發布機制。