El equipo de Drupal CMS ha solucionado una falla de seguridad muy crítica que permite a los piratas informáticos tomar el control de un sitio simplemente accediendo a una URL.
Los propietarios de sitios Drupal deben actualizar sus sitios inmediatamente, y nos referimos ahora, a Drupal 7.58 o Drupal 8.5.1, según la versión que estén usando.
El equipo de Drupal anunció previamente los parches de hoy la semana pasada cuando dijo que «los exploits podrían estar en desarrollo dentro de horas o días» a partir de la divulgación de hoy.
La falla de seguridad es realmente grave, y el equipo de Drupal le asigna una puntuación de gravedad de 21 (en una escala de 1 a 25).
Drupal afectado por una falla RCE no autenticada
El error, rastreado como CVE-2018-7600, permite a un atacante ejecutar cualquier código que desee contra el componente central de CMS, y así tomar el control del sitio.
El atacante no necesita estar registrado o autenticado en el sitio de destino, y todo lo que el atacante debe hacer es acceder a una URL.
La comunidad de Drupal una vez denominó este error Drupalgeddon2 después del error de seguridad de Drupalgeddon (CVE-2014-3704, inyección SQL, gravedad 25/25) revelado en 2014 que provocó que muchos sitios de Drupal fueran pirateados durante años.
No hay PoC disponible. No se han detectado ataques (todavía).
Actualmente no hay una prueba de concepto pública o un código de explotación disponible en línea, pero los investigadores ya han comenzado a investigar los parches de Drupal para determinar qué se ha solucionado.
La esencia de la diferencia entre Drupal 7.57 y 7.58 (CVE-2018-7600, SA-CORE-2018-002) parece ser esta. #drupal #drupalgeddon2 pic.twitter.com/ZNvckNLTpb
— Arto Bendiken (@bendiken) 28 de marzo de 2018
Los desarrolladores de Drupal le dieron crédito a Jasper Mattsson, un empleado de la firma de auditoría de seguridad de Drupal, Druid, por descubrir la falla.
El equipo de Drupal dice que no estaba al tanto de ningún ataque que explotara la falla cuando emitió su alerta de seguridad, pero todos, desde el equipo oficial de Drupal hasta los investigadores de seguridad independientes, están preocupados y esperan que esta vulnerabilidad entre en explotación activa en cuestión de horas o días.
Los parches no deben ignorarse. Incluso la página de inicio principal de Drupal se eliminó hoy durante media hora para aplicar el parche Drupalgeddon2.
El equipo de Drupal desconectó el sitio antes del anuncio para actualizar la versión y ahora el sitio no funciona.
– Internet embrujada de Julian Assange (@GossiTheDog) 28 de marzo de 2018
EOLed Drupal 6 también afectado
Además de las correcciones para las dos ramas principales de Drupal, 7.x y 8.x, el equipo de Drupal anunció correcciones para la rama 6.x más antigua, que se suspendió en febrero de 2016.
Los productos de cortafuegos web deberían recibir actualizaciones en los días siguientes para gestionar los intentos de explotación.
Los desarrolladores de Drupal recomiendan parchear primero, pero si eso no es posible, aplique mitigaciones como reemplazar temporalmente un sitio de Drupal con una página HTML estática, de modo que el sitio de Drupal vulnerable no sirva URL vulnerables a los visitantes.
Además, las instalaciones de prueba y desarrollo de Drupal deben actualizarse o eliminarse por completo hasta que se pueda aplicar el parche.
Drupal CMS tiene una cuota de mercado de alrededor del 9%
Según BuiltWith.com, Drupal actualmente administra más de un millón de sitios y tiene una participación de mercado del 9 % entre los 10 000 sitios principales.
Si usted es un administrador de WordPress y los propietarios de sitios de Drupal lo han ridiculizado por ejecutar un CMS propenso a vulnerabilidades, el hashtag de Twitter #Drupalgeddon2 puede proporcionar cierta satisfacción moral, troleo vicioso y memes divertidos.
Drupal amateur hour: UNA actualización DE SEGURIDAD CRÍTICA, que es «agregar validación de entrada». ¿Qué es? Maldito 1997? #drupal #drupalgeddon.
Literalmente todo cambió/agregó: pic.twitter.com/zZaG1GTRmd
— B̜̫͍̼̙̬̒ͦ̇͑̄ͅo̯̳̦͓̮̭ͧ̋͆ͪͦͫḃ̴̟̻͕̤͇̙̣͎̏ (@bopp) 28 de marzo de 2018