Descoberta nova vulnerabilidade RCE no Drupal

Descoberta nova vulnerabilidade de execução remota de código no Drupal — Atualize o seu CMS ASAP!

Os developers do Drupal – um CMS popular – lançaram a versão mais recente do CMS para corrigir uma vulnerabilidade crítica que pode permitir que atacantes remotos tomem total controlo sobre o website.

A atualização ocorreu dois dias depois de a equipa de segurança do Drupal divulgar uma notificação de segurança antecipada sobre os próximos patches, dando aos administradores dos websites informações antecipadas para corrigir os CMSs antes que os hackers abusassem da vulnerabilidade.

A vulnerabilidade em questão é uma falha crítica de execução remota de código (RCE) no Drupal Core que poderia “levar à execução de código PHP arbitrário em alguns casos”, disse a equipe de segurança do Drupal.

Embora a equipa do Drupal não tenha divulgado nenhum detalhe técnico sobre a vulnerabilidade (CVE-2019-6340), mencionou que a falha reside no fato de que alguns tipos de campos não sanitizarem adequadamente os dados de non-form sources que afetam o núcleo do Drupal 7 e 8.

It should also be noted that your Drupal-based website is only affected if the RESTful Web Services (rest) module is enabled and allows PATCH or POST requests, or it has another web services module enabled.

Também deve ser observado que o Drupal só é impactado se o módulo RESTful Web Services estiver habilitado e permitir solicitações PATCH ou POST, ou se tiver outro módulo de serviços (REST) ativado.

Caso a a nova versão do CMS não possa ser instalada de imediato, a falha pode ser mitigada desativando todos os módulos de serviços (REST) ou configurar os servidores para não permitir solicitações PUT / PATCH / POST.

“Note that web services resources may be available on multiple paths depending on the configuration of your server(s),” Drupal warns in its security advisory published Wednesday.
“For Drupal 7, resources are for example typically available via paths (clean URLs) and via arguments to the “q” query argument. For Drupal 8, paths may still function when prefixed with index.php/.”

Considerando a massiva adoção do Drupal e as recentes vulnerabildiades exploradas in-the-wild pelos hackers, é recomendado que as novas versões sejam instaladas:

If you are using Drupal 8.6.x, upgrade your website to Drupal 8.6.10.
If you are using Drupal 8.5.x or earlier, upgrade your website to Drupal 8.5.11

Samuel Mortenson da equipa de segurança do Drupal foi quem descobriu a vulnerabilidade.

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.