En muchas ocasiones los usuarios olvidan actualizar sus sitios web o blogs basados en los sistemas de gestión de contenido (CMS) más populares. En la comunidad de la ciberseguridad consideran que, lo peor en estos casos, es que los administradores actualizan hasta que surgen noticias sobre vulnerabilidades que ponen en riesgo la integridad de sus plataformas web; este parece ser el caso.
Los desarrolladores del CMS Drupal acaban de anunciar el lanzamiento de importantes actualizaciones de seguridad diseñadas para la corrección de una vulnerabilidad crítica, además de tres vulnerabilidades de gravedad media detectadas recientemente en sus sistemas centrales.
Firmas de seguridad y expertos en ciberseguridad independientes consideran a los sitios web con tecnología Drupal como uno de los principales blancos de los ataques de hackers maliciosos, por lo que se recomienda encarecidamente a los administradores de sitios web que instalen la más reciente versión de Drupal para prevenir el riesgo de explotación de esta falla.
Sobre la vulnerabilidad crítica, la descripción de la actualización menciona que se incluyen parches para diversas vulnerabilidades en una biblioteca de terceros conocida como ‘Archive_Tar’, usada por Drupal Core para crear, enumerar, extraer y agregar archivos a carpetas tar.
La falla existe debido a la forma en la que la biblioteca afectada descomprime los archivos con enlaces simbólicos. De ser explotadas, las vulnerabilidades permitirían a un actor de amenazas sobrescribir archivos confidenciales en el servidor objetivo, cargando un archivo tar creado con fines maliciosos. Es importante mencionar que la vulnerabilidad sólo afecta a los sitios web de Drupal configurados para procesar archivos .tar, .tar.gz, .bz2 o .tlz que pudieran ser cargados por un usuario no autorizado.
En su reporte, los desarrolladores de Drupal mencionaron que ya existe una prueba de concepto para la explotación de estas fallas. Este factor, aunado a la cantidad de exploits para sitios web en Drupal que ya existían antes, hace altamente probable que la vulnerabilidad ya haya sido explotada en escenarios reales, por lo que actualizar es altamente necesario, mencionan los expertos en ciberseguridad.
Respecto a las tres fallas de seguridad de menor riesgo, que también residían en Drupal Core, los desarrolladores del CMS mencionaron algunos detalles:
- Denegación de servicio (DoS): el archivo install.php utilizado por Drupal 8 Core contiene una vulnerabilidad que podría ser explotada para provocar fallas en el servicio, corrompiendo los datos de almacenamiento caché de un sitio web. La explotación de esta falla no requiere autenticación, aseguran los expertos en ciberseguridad
- Evasión de restricciones de seguridad: Durante la carga de archivos en Drupal 8 el sistema omite la eliminación de algunos caracteres, por lo que los nombres de archivos pueden ser usados por un hacker con capacidad para cargar archivos para sobrescribir archivos en el sistema de forma arbitraria, especialmente .htaccess, lo que le brindaría capacidad para evadir las protecciones del sistema
- Acceso no autorizado: El módulo predeterminado de la biblioteca de medios de Drupal no restringe de forma correcta el acceso a ciertas configuraciones, por lo que un usuario con privilegios reducidos obtendría acceso no autorizado a detalles confidenciales
Los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que, debido a la existencia de una prueba de concepto, es vital que los administradores de sitios web en Drupal actualicen a la versión más reciente lo más pronto posible.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad