As vulnerabilidades são a Drupalgeddon2 (CVE-2018-7601) e a Drupalgeddon3 (CVE-2018-7602). O que estes ataques tentam explorar é a falha de aplicação dos patches de correção nos websites que fazem uso desta tecnologia ou CMS.

Como é realizado o ataque?

Acredita-se que este ataque anda a ser desencadeado por motivos financeiros. Observa-se uma grande quantidade de pedidos HTTP Post por um mesmo endereço que faz parte de um ciberataque em grande escala. Os pedidos são feitos pelos ataques de forma a fazerem download de um script em Perl para lançarem um backdoor designado por Shellbot, e que usa um canal de IRC como C&C.

Este bot utiliza diversas ferramentas para desencadear ataques distribuídos de negação de serviço (DDOS) e fazer o scan por falhas de SQL injection ou mesmo outras, por exemplo, elevação de privilégio.

O bot foi desenhado para fazer o scan automatizado de uma grande quantidade de websites e comprometer totalmente os vulneráveis.

Este Shellbot apareceu primeiro em 2005, e está a ser usado por diversos grupos, tendo sido também usado no ataque realizado ao Apache Struts (CVE-2017-5638) de Março de 2017.

Em suma, meus amigos, no uso do Drupal, ou mesmo de qualquer outro CMS, apliquem sempre que possível os patches ou correções disponíveis!

Fica a par das últimas atualizações deste CMS através do site oficial: https://www.drupal.org/patch/apply