Los piratas informáticos han encontrado una forma de atacar a Drupal y eso también puede afectar su seguridad virtual

Drupal es el tercer sistema de gestión de contenido (CMS) más popular del mundo. Fuera de contexto, esto no suena como un gran logro, pero cuando se tiene en cuenta la inmensa inmensidad de Internet, verá que este proyecto único de código abierto es responsable de proporcionar una cantidad asombrosa de información. También a menudo estamos hablando de información importante. Las estadísticas de uso sugieren que si bien una mayor cantidad de sitios web se basan en Joomla, los que dirigen Drupal tienen más visitantes y, de hecho, las listas de sitios populares de Drupal muestran que es el CMS elegido por muchos gigantes corporativos, gobiernos e instituciones educativas.

El problema con esto es que cuando Drupal desarrolla un error, puede afectar a una gran cantidad de sitios web importantes. Lamentablemente, incluso los operadores de portales de Internet de alto perfil no siempre aplican los parches de seguridad a tiempo, y los resultados a menudo hablan por sí mismos. Hoy, hablaremos sobre el error de seguridad más reciente, cómo afectó a los sitios web vulnerables y qué se podría haber hecho para minimizar el daño.

SA-CORE-2019-003 - un error crítico de ejecución remota de código

Todo comenzó el 20 de febrero cuando Drupal emitió parches para una vulnerabilidad de ejecución remota de código no revelada que afectaba a ciertas versiones del sistema de administración de contenido. El error, conocido como SA-CORE-2019-003 o CVE-2019-6340 , está arraigado en el hecho de que las instalaciones de Drupal afectadas no desinfectan correctamente los datos provenientes de fuentes que no son formularios, y al principio se pensó que un remedio es posible incluso sin la aplicación de un parche.

Los desarrolladores estimaron que unos pocos cambios de configuración podrían ser suficientes, pero unos días después de la divulgación, anunciaron que sus pensamientos iniciales estaban equivocados. El riesgo de seguridad se actualizó a Muy crítico, pero a pesar de esto, algunos propietarios de sitios web no actualizaron sus instalaciones de inmediato. Los hackers no necesitaban una segunda invitación.

Los ciberdelincuentes plantan mineros de criptomoneda en instalaciones vulnerables de Drupal

Ayer, Imperva, una compañía especializada en seguridad de sitios web, dijo que solo tres días después de la divulgación inicial, los piratas informáticos ya estaban intentando explotar SA-CORE-2019-003. Fue un ataque bastante fuerte, y aunque ha disminuido un poco, como veremos en un minuto, organizar un ataque no es terriblemente difícil, lo que significa que podríamos ver algo más de actividad alrededor de SA-CORE-2019-003.

Estamos hablando de ejecución remota de código. En otras palabras, los atacantes son más o menos libres de hacer lo que quieran después de explotar la vulnerabilidad. En los ataques observados por Imperva, los delincuentes estaban principalmente interesados en inyectar un minero de criptomoneda JavaScript llamado CoinIMP, que extrae Monero y Webchain con la ayuda de los recursos de hardware de los visitantes. En algunos casos, sin embargo, los investigadores vieron a los delincuentes colocando shells en los sitios web afectados, lo que significa que podrían cargar archivos sin permiso o autenticación.. La próxima vez, pueden decidir usar algo más siniestro, como las descargas automáticas que infectan las computadoras de los usuarios con malware.

Podría haber sido peor

Hay que decir que la criptomoneda minera con las computadoras de personas involuntarias no es la forma más desagradable de la ciberdelincuencia, y hay algunas otras cosas que podrían haber empeorado el ataque.

No hay forma de saber qué tan grande es la campaña. Imperva notó un aumento significativo, pero solo pueden hablar sobre sus clientes, lo que significa que no tenemos cifras confiables. Sin embargo, muchas personas consideran que debido a que SA-CORE-2019-003 afecta a un rango relativamente limitado de versiones de Drupal, el ataque no puede ser tan generalizado. De hecho, algunos incluso piensan que los posibles objetivos son tan escasos y que los hackers considerarán la explotación como una pérdida de tiempo. Obviamente, esperamos que tengan razón. Sin embargo, no podemos pasar por alto el hecho de que aprovechar SA-CORE-2019-003 es más fácil de lo que debería ser.

Un código de prueba de concepto hace que la explotación sea rápida y simple

La divulgación inicial del 20 de febrero no contenía muchos detalles técnicos, pero no hace falta decir que los profesionales de la seguridad querían saber más. Los expertos de Ambionics Security desarmaron el parche y se dieron cuenta de que había un poco más de error de lo que se pensaba inicialmente. Para respaldar sus hallazgos, publicaron un exploit de prueba de concepto. Todo esto ayudó a Drupal a aprender más sobre el error, y se tomó la decisión de calificar la vulnerabilidad como altamente crítico.

Desafortunadamente, la existencia de un exploit disponible también facilita el trabajo de los criminales, lo que significa que, a pesar del pequeño número de posibles víctimas, la amenaza sigue siendo muy real.

Podría discutir durante horas si la decisión de Ambionics de publicar el código fue buena o no. Probablemente algunos de ustedes piensen que no hay nada de malo en esto, mientras que otros dirán que informar a Drupal en privado sobre los hallazgos y mantener la vulnerabilidad en secreto sería la mejor opción. Alternativamente, puede asegurarse de que su sitio web de Drupal esté actualizado y olvidarse de SA-CORE-2019-003.