براساس گزارش BBC، وبسايتها براي مديريت محتوا، تصاوير، متن و ويدئوهاي خود از نرمافزار Drupal استفاده ميكنند. اكنون شركت سازنده اين نرمافزار هشدار امنيتي را منتشر ساخته و اعلام كرده كاربراني كه از بسته رفع نقص امنيتي جديد اين شركت استفاده نكردهاند بايد خود را هك شده در نظر بگيرند.
به گفته اين شركت حملات خودكار با بهرهگيري از اين نقص فني انجام شده و كنترل سايت را در اختيار هكرها درمي آورد.
بيانيه تكاندهنده
تيم امنيتي شركت Drupal در بيانيه بسيار اضطراري خود اعلام كرد هركسي كه تا هفت ساعت پس از كشف اين نقص امنيتي در تاريخ 15 اكتبر 2014 نسبت به جلوگيري و رفع نقص اقدامي انجام نداده باشد بايد خود را هك شده در نظر بگيرد. اين شركت هشدار داد هر فردي كه هنوز بهروز رساني انجام نداده بايد به سرعت اين كار را انجام دهد.
با اينهمه تيم امنيتي اين شركت ميگويد تنها با بهروز رساني نميتوان حمله هكرها را خنثي كرد و ميان برهايي كه هكرها براي ايجاد دسترسي به وبسايتها ايجاد كردهاند را مسدود ساخت. وبسايتها بايد از نظر امنيتي مورد بررسي قرار بگيرند تا مشخص شود آيا اطلاعاتي به سرقت رفتهاست؟
به گفته تيم امنيتي Drupal ممكن است هكرها تمامي اطلاعات وبسايت را كپي كردهباشند تا از آن سواستفاده كنند، شايد هيچ ردپايي از اين حمله موجود نباشد.
مارك استاكلي تحليلگر شركت امنيتي سوفوس اين بيانيه را تكاندهنده توصيف كردهاست. به گفته وي نقص امنيتي كشف شده در نسخه هفتم نرمافزار Drupal هكرها را در موقعيتي ممتاز قرار ميدهد و آنها ميتوانند از دسترسي خود به اطلاعات سايت براي كنترل كردن سرورها و يا آلوده سازي وبسايتها به بدافزارهايي مخرب براي بهدام انداختن بازديدكنندگان استفاده كنند.
به گفته استاكلي، بيش از 5.1 درصد از ميلياردها وبسايتي كه در جهان وجود دارند، از Drupal 7 براي مديريت محتواي خود استفاده ميكنند، به بياني ديگر تعداد وبسايت هايي كه به بروزرساني و رفعنقص نياز خواهند داشت بيش از 12 ميليون خواهدبود.
به اعتقاد استاكلي، Drupal بيش از اين نبايد براي اجراي رفع نقصهاي امنيتي خود به كاربرانش تكيه داشتهباشد، زيرا بسياري از مالكان وبسايتها هرگز پيام هشداري دريافت نميكنند و بسياري از آنها نيز در زمان دريافت هشدار خواب هستند. از اين رو Drupal بايد به فكر راهاندازي سيستم خودكاري براي حفظ امنيت خود باشد.