Se insta a los administradores de sitios que se ejecutan en Drupal a cerrar una vulnerabilidad de seguridad crítica (CVE-2020-13671) que los atacantes podrían aprovechar para tomar el control de los sitios vulnerables.
También se les pidió que verificaran que la vulnerabilidad no haya sido explotada en secreto por los atacantes.
Sobre la vulnerabilidad (CVE-2020-13671)
CVE-2020-13671 existe porque el núcleo de Drupal (la versión estándar de Drupal) no desinfecta correctamente ciertos nombres de archivo en los archivos cargados.
Un archivo malicioso con una extensión doble (por ejemplo, php.txt) podría «interpretarse como una extensión incorrecta y servir como un tipo MIME incorrecto o ejecutarse como PHP para algunas configuraciones de alojamiento», señaló el equipo de seguridad de Drupal.
Proporcionaron actualizaciones de seguridad con la solución y recomendaron que los administradores actualicen a la versión de Drupal 9.0.8, 8.9.9, 8.8.11 o 7.74, según la rama de Drupal que estén usando actualmente.
El equipo no dijo que estaba al tanto de la explotación activa de la vulnerabilidad, pero recomendó a los administradores auditar todos los archivos descargados previamente en busca de extensiones maliciosas.
«Busque específicamente archivos que incluyan más de una extensión, como filename.php.txt o filename.html.gif, sin un guión bajo (_) en la extensión. Preste especial atención a las siguientes extensiones de archivo, que deben considerarse peligrosas incluso cuando van seguidas de una o más extensiones adicionales: phar, php, pl, py, cgi, asp, js, html, htm, phtml. caso por caso”, aconsejaron.
Los sitios basados en Drupal son un gran objetivo
Los atacantes suelen aprovechar las vulnerabilidades de Drupal. Drupal es un sistema de gestión de contenidos gratuito y de código abierto, y es el cuarto CMS más utilizado después de WordPress, Shopify y Joomla.
Pero aunque la cantidad de sitios dependientes de Drupal es mucho, mucho menor que la cantidad de sitios basados en WordPress, aún supera el millón.
Los administradores también deben tener en cuenta que, si bien Drupal v7.x aún se mantiene y recibe actualizaciones de seguridad, llegará al final de su vida útil en noviembre de 2021, por lo que se alienta a quienes lo usan a comenzar a planificar la actualización a una versión más nueva, preferiblemente. 9.x.
ACTUALIZACIÓN (24 de noviembre de 2020, 11:20 a. m. PT):
Drupal v7.x EOL se ha extendido hasta el 28 de noviembre de 2022, «dado el impacto de COVID-19 en los presupuestos y las empresas».