150000 sitios web de Drupal fueron hackeados por esta nueva vulnerabilidad

El equipo de seguridad de Drupal ha corregido otra vulnerabilidad de ejecución remota de código de Drupal, que sugiere a los usuarios a implementar las actualizaciones ofrecidas de inmediato ya que la falla se está explotando activamente en la naturaleza.

Los expertos en seguridad informática comentan que la vulnerabilidad (CVE-2018-7602) afecta a las versiones 7.x y 8.x de Drupal. Los usuarios deben actualizar a v7.59 y 8.5.3 cuanto antes.

Drupalll

Los usuarios que no pueden implementar la actualización pueden implementar parches independientes, pero antes de hacerlo tienen que aplicar la solución de SA-CORE-2018-002.

Esta es la segunda ocasión en menos de un mes que se ha conectado una falla crítica en la ejecución del código remoto.

El primer incidente, CVE-2018-7600, afectó a los sitios de Drupal 8, 7 y 6, estimados en casi un millón.

A pesar de que un profesional encontró la vulnerabilidad y lo reveló responsablemente, los atacantes no tardaron en desarrollar un exploit una vez que se publicaron las actualizaciones y parches de seguridad.

“Los sitios no reparados pueden verse comprometidos. Es posible que los ataques dirigidos ocurrieran antes de el miércoles 2018-04-11  “, compartió recientemente el equipo de seguridad informática de Drupal.

“Con la actualización de marzo, Drupal agregó una función de saneamiento global. Este enfoque es difícil de implementar correctamente “, comentó Johannes Ullrich, CTO de SANS ISC.

“Es muy difícil desinfectar y validar los datos antes de que quede claro cómo se usan, en particular si esto se hace para una aplicación existente y compleja como Drupal”.

El segundo incidente, CVE-2018-7602, está relacionado con el anterior, fue desenterrado por el mismo investigador y miembros del equipo de seguridad informática de Drupal, y se está explotando activamente en la naturaleza.

Ataques en la naturaleza

Netlab 360, observó una gran cantidad de escaneos en Internet contra CVE-2018-7600.

Los atacantes buscan instalaciones vulnerables de Drupal, explotan la falla e instalan mineros de criptomonedas y software compatible con DDoS en los servidores comprometidos, también puertas traseras que les permiten acceder al sistema cuando lo desean.

Es de esperar que CVE-2018-7602 sea explotado con los mismos objetivos.

El equipo de Drupal advierte que, una vez que las actualizaciones estén instaladas, los administradores deben verificar si su instalación se ha visto comprometida y si hay una puerta trasera instalada en el host.

“Simplemente actualizar Drupal no eliminará las puertas traseras ni arreglará los sitios comprometidos. Debe suponer que el host también está comprometido y que cualquier otro sitio en un host comprometido también se ve comprometido “, comentaron.

“Si encuentra que su sitio ya está parchado, pero usted no lo hizo, puede ser un síntoma de que el sitio se vio comprometido. Algunos ataques en el pasado han aplicado el parche como una forma de garantizar que solo ese atacante tenga el control del sitio”.