Sitios Drupal 7 al parecer comprometidos, llamado a actualizar...

---

Sitios que corren Drupal 7 y que no actualizaron a la versión 7.32, o que lo hicieron después de 7 horas de que fue revelada la vulnerabilidad SQL (CVE-2014-3704) el 15 de octubre, se consideran como comprometidos.



El US-CERT lanzó una alerta sobre el anuncio que hizo Drupal de la explotación activa de esa vulnerabilidad previamente parchada.



La vulnerabilidad fue descubierta por un investigador alemán de la firma de seguridad Sektion Eins, quien compartió la información con el equipo de seguridad de Drupal, quienes corriegieron el hallazgo por medio de una actualización.



"La vulnerabilidad de esta API (Application Program Interface) permite a los atacantes enviar peticiones específicamente corruptas que resultan en la ejecución de sentencias SQL. Dependiendo del contenido de la petición es como ellos pueden escalar privilegios, ejecutar código arbitrario PHP y otros ataques".



El problema principal es que el bug es extremadamente fácil de explotar y automatizar, los ataques empezaron en las horas posteriores en que se anunciaba la existencia del fallo.



"Simplemente actualizando a la versión de Drupal 7.32 no se quitarán las puertas traseras", el equipo advirtió y aclaró: "Si tu sitio parece corregido sin que lo hayas hecho tú mismo, es signo de que fue comprometido, algunos ataques aplican las correcciones como una manera de garantizar que ellos sean los únicos atacantes que tengan el control del sitio."



"Los crackers pueden copiar todos los datos fuera de tu sitio y pueden usarlos con un propósito malicioso. Puede no haber algún rastro del ataque," mencionan, y agregan que " pueden haber creado puntos de acceso para ellos mismos en la base de datos, en el código, en archivos o en otras localidades," y " pudieron haber comprometido otros servicios o haber escalado accesos."



El equipo también aportó ayuda con una guía paso a paso de cómo poder abordar el problema y de las cosas que los administradores deberán tomar en cuenta.



"La tan llamada vulnerabilidad Drupageddon puede afectar fácilmente cualquier sistema que ejecutan código vulnerable. Con tal facilidad de explotación, que la posibilidad de exfiltración de datos o una mayor explotación son altos. Para aquellos que han tenido buenos controles de seguridad, se les recomienda altamente revisar las bitácoras y darle un seguimiento al tráfico del sitio desde que la vulnerabilidad fue anunciada y se ejecutó el parche."



Para aquellos que no tienen un buen nivel de seguridad o la visibilidad de registros de este tipo, se les recomienda asumir que han sufrido la violación", comentó Gavin Millard, director técnico de EMEA en Tenable Network Security.



Se ha estimado que aproximádamente 950 mil sitios usaron la versión 7.x del Gestor de Contenidos Drupal. Drupal 6.x no es vulnerable a este hallazgo.



http://www.seguridad.unam.mx/noticia/?noti=1999