Parchea inmediatamente si estás usando Drupal

Advierten que el exploit puede llegar en horas.

Quienquiera que tenga un sitio web creado con Drupal debe detener lo que esté haciendo en este momento e instalar los parches de seguridad críticos.

La organización detrás del software de código abierto presentó ayer un parche de seguridad urgente para abordar una vulnerabilidad de ejecución de código remoto en “subsistemas múltiples” de su software de sistema de gestión de contenido.

Las brechas de seguridad podrían permitir atacar un sitio web con Drupal de varias maneras diferentes y eso “podría resultar en que el sitio se vea completamente comprometido”.

De esta manera se podría atacar un sitio desde cualquier página web, advirtieron los desarrolladores del proyecto Drupal, sin que sea necesario iniciar sesión ni tener ningún privilegio, lo que significa que alguien completamente anónimo puede hacerse con un sitio vulnerable, así como acceder, eliminar y cambiar datos no públicos.

No hay ningún exploit circulando en este momento, pero los desarrolladores han advertido que podría ser cuestión de horas antes de que algo se desarrolle. Lo que significa una cosa: parchea y hazlo ya mismo.

¿Cuál es el problema?

Las vulnerabilidades, designada como CVE-2018-7600, se encuentran en el núcleo del software y afectan a las versiones 6, 7 y 8 del software de gestión de contenido.

Los desarrolladores de Drupal están tan preocupados de que los actores maliciosos puedan desarrollar el exploit rápidamente que tomaron la medida de informar a los administradores del sitio la semana pasada acerca de que los parches estaban en camino para que los administradores web pudieran programar el tiempo de inactividad para aplicarlos.

Los desarrolladores también han publicado parches para versiones anteriores a la último, 8.3 y 8.4, así como para la versión más reciente de 8.5, para asegurar que los sitios web se puedan actualizar lo antes posible, en lugar de requerir una actualización general. También está disponible un parche para 7.x.

“El equipo de seguridad de Drupal lo insta a reservar tiempo para las actualizaciones principales porque los exploits podrían desarrollarse en cuestión de horas o días”, advirtieron la semana pasada.

Si bien el enfoque de darles a los administradores del sitio un aviso previo -incluyendo una ventana de 6pm a 7.30pm UTC- fue bueno en teoría, el miércoles resultó un poco contraproducente cuando el gran foco de atención terminó saturando a los servidores del proyecto, lo que hizo que fuera más difícil. publicar y difundir los parches reales y más información.

Mientras los administradores esperaban pacientemente —e impacientemente— que llegaran los parches, una serie improvisada de conversaciones comenzó en las listas de correo y en las redes sociales. Apareció un juego de ahorcado en Internet y los memes estallaron.

Vale la pena señalar que si bien una vulnerabilidad crítica en uno de los sistemas de gestión de contenido más populares del mundo no es algo bueno, puede tener efectos secundarios interesantes: como cuando el sitio web de la firma de abogados Mossack Fonseca fue vulnerado y saqueado, proporcionando la información extraordinaria que condujo a los llamados Panama Papers, todo por no haber actualizado Drupal parcheando una vulnerabilidad crítica.

Los Paname Papers revelaron una gran conspiración mundial para ocultar dinero en cuentas bancarias en el extranjero y dieron como resultado promesas sin precedentes para reducir la evasión fiscal.

Tendremos que esperar y ver si algo similar surge de esta lucha de seguridad.

Si aún estás usando Drupal 6, un parche no oficial está disponible aquí.