A equipa de segurança da Drupal confirmou o lançamento do patch da vulnerabilidade classificada como CVE-2018-7600, que afetava as versões 7 e 8 do Drupal. Este patch foi lançado no dia 28 de março.
Esta vulnerabilidade foi identificada pelo developer Jasper Mattsson da Drupal.
Ambas as versões Drupal 8.3.x e 8.4.x não são suportadas, mas devido à gravidade da falha, a equipe de segurança do Drupal decidiu abordá-las com atualizações de segurança específicas.
A equipa de desenvolvimento do Drupal corrigiu a vulnerabilidade que podia ser explorada por um atacante remoto. De notar que o atacante podia tirar partido da vulnerabilidade e “aceder” a um site apenas clicando numa URL.
O CMS Drupal é muito popular e é atualmente utilizado por mais de um milhão de sites, é o segundo sistema de destão de conteúdo mais popular logo atrás do WordPress.
Pede-se aos administradores dos websites que atualizem imediatamente os seus sistemas para as versões Drupal 7.58 ou o Drupal 8.5.1.
Esta falha foi apelidada de Drupalgeddon2 após a vulnerabilidade de segurança CVE-2014-3704 Drupalgeddon que foi descoberta em 2014 e que foi explorada em inúmeros ataques bem sucedidos.
A boa notícia é que, na época, não havia nenhum código público de prova de conceito disponível on-line.
“A remote code execution vulnerability exists within multiple subsystems of Drupal 7.x and 8.x. This potentially allows attackers to exploit multiple attack vectors on a Drupal site, which could result in the site being completely compromised.” reads the security advisory published by Drupal.
“The security team has written an FAQ about this issue. Solution:
Upgrade to the most recent version of Drupal 7 or 8 core.
- If you are running 7.x, upgrade to Drupal 7.58. (If you are unable to update immediately, you can attempt to apply this patch to fix the vulnerability until such time as you are able to completely update.)
- If you are running 8.5.x, upgrade to Drupal 8.5.1. (If you are unable to update immediately, you can attempt to apply this patch to fix the vulnerability until such time as you are able to completely update.)”
A correção desta vulnerabilidade é essencial. De notar que a própria página do Drupal foi retirada alguns minutos do ar (cerca de 30 minutos) para correção da drupalgeddon2.
The Drupal team took the site offline before the announcement to do a version upgrade, and now the site doesn’t work 😃💃🏽
— Kevin Beaumont, Actual Porg 👻 (@GossiTheDog) March 28, 2018
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.