Video: La falla de 2013 que todavía se usa hoy para convertir servidores Linux en mineros de monedas
Los desarrolladores del popular CMS Drupal de código abierto están advirtiendo a los administradores que corrijan de inmediato una falla que un atacante puede explotar simplemente visitando un sitio vulnerable.
El error afecta a todos los sitios que ejecutan Drupal 8, Drupal 7 y Drupal 6. La página de uso del proyecto de Drupal dice que aproximadamente un millón de sitios ejecutan las versiones afectadas.
Se recomienda a los administradores que actualicen inmediatamente a Drupal 7.58 o Drupal 8.5.1. Drupal emitió una alerta para el parche la semana pasada, advirtiendo a los administradores que asignen tiempo para el parche porque los exploits podrían llegar «a las pocas horas o días» de su lanzamiento de seguridad. Hasta el momento, no ha habido ataques utilizando la falla, según Drupal.
El error, llamado Drupalgeddon2, recibió el identificador oficial CVE-2018-7600.
Drupal le otorgó una calificación de «muy crítico» con una puntuación de riesgo de 21 de 25 según el sistema de puntuación de uso indebido común del NIST.
Aunque no existe una versión de seguridad para las versiones 8.3.x y 8.4.x no compatibles de Drupal, Drupal ha lanzado parches para una solución rápida.
Descargar ahora: Investigación de la estrategia de ciberseguridad: tácticas comunes, problemas de implementación y eficacia
Drupal advierte que los atacantes pueden explotar la falla de varias maneras. Cualquier visitante, independientemente del privilegio, puede explotar la falla visitando un sitio afectado y accediendo, modificando y eliminando datos privados.
«Esto permite potencialmente a los atacantes explotar múltiples vectores de ataque en un sitio de Drupal, lo que podría resultar en que todo el sitio se vea comprometido», señala Drupal.
El proyecto establece que solo los cambios de configuración «drásticos» mitigarán la vulnerabilidad y, por lo tanto, recomienda instalar la versión de seguridad.
El problema radica en el núcleo de Drupal y es causado por la falta de validación de entrada.
«A partir de esta versión, Drupal elimina varios valores potencialmente peligrosos de la entrada proporcionada por el usuario», notas de la versión de Drupal 7.58 y 8.4.6.
La rama 7.58 de Drupal incluye un nuevo archivo y una actualización de un archivo previamente existente, según la firma de seguridad de aplicaciones del Reino Unido Appsecco.
«El directorio ‘/includes’ contiene varios archivos .inc que se llaman al acceder a Drupal para configurar el entorno del servidor, las variables del lado del servidor y el manejo de los datos proporcionados por el usuario en el servidor», escribe Riyaz Walikar de Appsecco.
«La versión recién lanzada, 7.58, tiene un nuevo archivo llamado ‘request-sanitizer.inc’ que contiene funciones para desinfectar la entrada del usuario proporcionada a través de GET, POST o cookie».
«El problema subyacente es que el núcleo de Drupal (al igual que otros marcos) acepta parámetros de solicitud como objetos de matriz. Un usuario puede pasar un objeto de matriz a la aplicación con el nombre clave que contiene la carga útil que Drupal procesaría sin desinfectar».
Cobertura anterior y relacionada
Drupal corrige vulnerabilidades críticas de CMS
Los errores incluyen el manejo inadecuado del código y fallas de seguridad de omisión de acceso.
Drupal corrige una falla crítica de derivación de acceso en el núcleo del motor
Drupal lanzó parches de seguridad para suavizar una vulnerabilidad de omisión de acceso grave, entre otros errores.
Cuando se trata de la tecnología que amamos, ¿alguna vez es realmente obsoleta?
Las empresas deben pensar mucho sobre qué hacer con tecnologías antiguas pero aún muy valiosas.
Por qué Headless CMS podría cambiar la forma en que las empresas gestionan el contenido para siempre(República Tecnológica)
Con la variedad de formas en que se distribuye el contenido, desvincular la interfaz de su sitio web del sistema principal de administración de contenido puede hacer que su proyecto sea más adaptable.
