Hackers aprovechan exploit para Drupal revelado recientemente

17/04/2018

Después de que se revelara un exploit para aprovechar una vulnerabilidad crítica en Drupal, se ha detectado que hackers lo han usado.

Dos semanas atrás, el equipo de seguridad de Drupal descubrió una vulnerabilidad crítica que permite la ejecución remota de código, llamada Drupalgeddon2, en el gestor de contenido, que podría permitir a un atacante tomar completo control de los sitios vulnerables.

La compañía emitió inmediatamente una versión actualizada de Drupal sin revelar ningún detalle técnico sobre la vulnerabilidad, para dar tiempo suficiente a que los millones de sitios aplicaran las actualizaciones.

Dos días ante de redactar estas líneas, los investigadores de seguridad de Check Point y Dofinity publicaron los detalles técnicos completos sobre esta vulnerabilidad (CVE-2018-7600), mediante la cual, un investigador de seguridad de Rusia publicó un código de exploit de prueba de concepto (PoC) para Drupalgeddon2 en GitHub.

La vulnerabilidad Drupalgeddon2 que afecta a todas las versiones de Drupal de la versión 6 a la 8 permite a un atacante remoto sin autenticar que ejecute código malicioso en instalaciones de Drupal dadas por defecto o comunes.

De acuerdo con la revelación de CheckPoint, la vulnerabilidad existe debido a un cuidado insuficiente de las entradas que pasan por peticiones de Form API (FAPI) AJAX.

“Como resultado, esto permite a una atacante potencialmente inyectar una carga maliciosa en la forma interna de la estructura. Esto podría causar que Drupal lo ejecutara sin autenticación del usuario”, afirmaron investigadores de Check Point.

“Al explotar esta vulnerabilidad, un atacante podría ser capaz de tomar control absoluto de cualquier cliente Drupal.”

Sin embargo, poco después de la publicación del exploit de la PoC, que muchos confirman que es funcional, investigadores en Sucuri, Imperva, y el SANS Internet Storm Center comenzaron a ver intentos para explotar Drupalgeddon2, aunque ninguno ha visto aún reportes de sitios web vulnerados.

Se recomienda a los administradores de los sitios que aún utilizan versiones vulnerables de Drupal que parchen esta vulnerabilidad al actualizar su gestor de contenido a Drupal 7.58 o Drupal 8.5.1 tan pronto como sea posible para evitar los exploits.

La vulnerabilidad también afecta a Drupal 6, que no tiene soporte desde febrero 2016, pero se he emitido un parche para la versión.

Artíulos relacionados: