Ciberatacantes aprovechan una vulnerabilidad en Drupal a cinco horas de ser revelada
Cinco horas después de que el equipo de Drupal publicara una actualización de seguridad para el gestor de contenidos, ciberatacantes encontraron una manera de convertir la debilidad parchada en un arma, y la están aprovechando activamente en el medio.
Esta vulnerabilidad no debe ser confundida con Drupalgeddon2 (CVE-2018-7600), otro problema de seguridad en Drupal que fue solucionado el mes pasado, el cual también ha sido aprovechado. El fallo actual, identificado como CVE-2018-7602, fue solucionado el día 25 de abril.
A diferencia de Drupalgeddon2, que los atacantes comenzaron a aprovechar después de dos semanas, en esta ocasión comenzaron a explotar el fallo CVE-2018-7602 de inmediato. El equipo de seguridad de Drupal reportó que detectaron ataques a cinco horas después de revelar la actualización.
The security team is aware that SA-CORE-2018-004, is being exploited in the wild. If you have not updated, please do so now. https://t.co/TVGob2IXvL
— Drupal Security (@drupalsecurity) 25 de abril de 2018
El equipo de Drupal temía estos problemas
El equipo responsable estaba al tanto de que esta falla podría tener repercusiones serias, por lo que emitió un comunicado el lunes acerca de la actualización del día 25 de abril.
El comunicado fue pensado para advertir a los dueños de sitios por adelantado, porque el equipo de Drupal consideró que “había algún riesgo de que desarrollaran exploits en cuestión de horas o días”.
Lo que temía el equipo de Drupal fue lo que sucedió finalmente, y los atacantes comenzaron a aprovechar la vulnerabilidad CVE-2018-7602 en cuestión de horas, incluso antes de que muchos dueños de sitios pudieran instalar las actualizaciones.
Esta vulnerabilidad es un engendro de Drupalgeddon2
La falla que están explotando es un fallo de ejecución remota de código (RCE) que afecta tanto la versión Drupal 7.x como la 8.x. La vulnerabilidad está calificada con 20 de 25 en la escala de severidad de Drupal, lo que significa que puede otorgar a los atacantes completo control de un sitio.
Los desarrolladores de Drupal dicen que descubrieron CVE-2018-7602 mientras investigaban la vulnerabilidad anterior Drupalgeddon2, y que estaban conectadas.
Ambas fallas están relacionadas con la manera en que Drupal maneja el carácter “#” usado en sus URL, y la falta de saneamiento de entrada aplicado a los parámetros que se proveen a través de ese símbolo.
SA-CORE-2018-004 #drupalgeddon3 #cve-2018-7602 # drupal Exists due to "destination" GET query parameter accepting a URL (with its GET parameters) which is not sanitized with stripDangerousValues() function, this function is the responsible to filter "#" character.
— Dreadlocked (@_dreadlocked) 25 de abril de 2018
El equipo de Drupal v7.59, v8.4.8 y v8.5.3 para mitigar CVE-2018-7602.
Siete horas después del parche, y dos horas después de los primeros reportes de ataques en el medio, un usuario llamado Blaklis también publicó en Pastebin un código de prueba de concepto listo para atacarla vulnerabilidad CVE-2018-7602.
La publicación del código facilitará aún más a los atacantes el comprometer sitios con Drupal. Se pueden esperar ataques similares a Drupalgeddon2, como puertas traseras, mineros de criptomoneda, secuestro de sitios web, redireccionamiento a sitios de soporte técnico fraudulento, y una gran cantidad de modificaciones no autorizadas de páginas web.
Algunos usuarios se refieren a este fallo como Drupalgeddon3.