Dois meses após o lançamento das atualizações de segurança para a falha do drupalgeddon2, os especialistas continuam a identificar websites vulneráveis e que executam versões defeituosas do Drupal — não instalaram os patches de segurança. Será isso uma oportunidade maliciosa?

 

Em março, os developers do Drupal descobriram uma vulnerabilidade “altamente crítica”, identificada como CVE-2018-7600, também conhecida como drupalgeddon2, e que afeta as versões 7 e 8 do Drupal.

Hackers continuam a explorar e a instalar malware no CMS Drupal (Continente é um dos afetados)

 

Atualmente não há suporte para o Drupal 8.3.xe 8.4.x, mas devido à gravidade da vulnerabilidade, a equipa de segurança do Drupal decidiu lançar duas atualizações de segurança específicas que foram lançadas alguns dias depois.

A vulnerabilidade é demasiado grave para ser ignorada. Um invasor pode executar código arbitrário no componente principal do CMS e assumir com completo o website apenas acedendo a uma URL em específico.

Após a publicação de uma Prova de Conceito (PoC) no GitHub como forma de explorar o Drupalgeddon2, os especialistas começaram a observar uma grande adesão por parte dos hackers e os problemas com websites infetados tem crescido exponencialmente e de forma totalmente descontrolada.

Normalmente são instalados crypto-minners e backdoors nos websites. Um dos mais recentes casos em portugal foi o website da Missão Continente.

De acordo com o investigador Troy Mursch, existem mais de 115.000 sites do Drupal que não instalaram o patch de forma a corrigir a vulnerabilidade do drupalgeddon2.

Os especialistas que varrem a Internet identificarem mais de 500.000 websites que executam a versão 7.x do CMS, dos quais 115.070 ainda executam versões desatualizadas e vulneráveis ao Drupalgeddon.  A A investigação não contemplou CMS com versão 6.xe 8.x.

“How many Drupal sites are vulnerable?To find the answer, I began by looking for sites using Drupal 7. This is the most widely used version, per Drupal’s core statistics. Using the source code search engine PublicWWW, I was able to locate nearly 500,000 websites using Drupal 7.” states a report published by Mursch.

“Upon completion of the scan I was able to determine:

  • 115,070 sites were outdated and vulnerable.
  • 134,447 sites were not vulnerable.
  • 225,056 sites I could not ascertain the version used.”

drupalgeddon2

O investigador detetou vários websites vulneráveis através da lista Alexa Top 1 Million. A lista inclui grandes instituições de ensino dos EUA, organizações governamentais em todo o mundo, uma grande rede de televisão, um conglomerado multinacional de media e entretenimento e dois grandes fabricantes de hardware.

Também são encontrados alguns domínios portugueses.

O investigador partilhou a lista de websites vulneráveis com a US-CERT e outras equipes CERT de todo o mundo.

Mursch confirmou que as campanhas de cryptojacking continuam mesmo depois de seu primeiro relatório:

“While scanning for vulnerable sites, I discovered a new cryptojacking campaign targeting Drupal sites. One of the affected sites was a police department’s website in Belgium. This campaign uses the domain name upgraderservices[.]cf to inject Coinhive.” added the expert.

 

O investigador mantém uma lista atualizada com todas as suas descoberta num documento partilhado na Google drive.

 

 

Esta vulnerabilidade é atualmente muito perigosa. Mais de 115 mil websites do Drupal 7.x. estão atualmente vulneráveis, e isso poderá ser considerado um “presente” e uma porta de entrada para os hackers.

É essencial preparar um plano de resposta para este tipo de incidentes nas organizações. Se é um dos afetados, atualize urgentemente o seu CMS.