Drupalgeddon continúa con una más de errores de código remoto se ha descubierto en el sistema de gestión de contenidos. Identificada como CVE-2018-7602, la vulnerabilidad muy crítico afecta Drupal versiones 7.x y 8.x. Los usuarios afectados deben actualizar inmediatamente a Drupal y v7.59 8.5.3. El error se explota de forma activa en la naturaleza, El equipo dijo Drupal, así que no pierda tiempo y el parche.
Descripción oficial del CVE-2018-7602
Existe una vulnerabilidad de ejecución remota de código dentro de múltiples subsistemas de Drupal 7.x y 8.x, el equipo de seguridad de Drupal ha anunciado recientemente. Esto permite a los atacantes explotan múltiples vectores de ataque en un sitio que se ejecuta en Drupal, lo que podría resultar en el sitio sean comprometidos de diversas maneras. Tenga en cuenta que CVE-2018 a 7602 se relaciona con el núcleo de Drupal – Altamente critico – Ejecución remota de código – SA-CORE-2018-002.
Tanto SA-CORE-2018-002 y esta vulnerabilidad están siendo explotados en la naturaleza, Drupal dijo. Adicionalmente, si los administradores están teniendo problemas se efectúa la actualización, deben proceder con la aplicación de parches independientes. Sin embargo, antes de proceder a los administradores tienen que aplicar la corrección de SA-CORE-2018-002 desde marzo 28, 2018. Sitios web sin este parche pueden ya han sido comprometidos.
Drupal vulnerabilidades CVE-2018-7602 y CVE-2018-7600
A principios de este mes, otro error muy crítico con Drupal fue descubierto – CVE-2018-7600, que es muy similar a CVE-2018-7602.
CVE-2018-7600 es también una vulnerabilidad de ejecución remota de código existente dentro de múltiples subsistemas de Drupal 7.x y 8.x. El fallo permite a los atacantes explotan múltiples vectores de ataque en un sitio de Drupal. Más específicamente, el insecto muy crítico podría causar graves daños a un sitio web que podría ser hackeado a través de la ejecución remota de código debido a una falta de validación de entradas.
Este defecto se dirigió rápidamente, pero no pasó mucho tiempo para que los atacantes para desarrollar un exploit después de la fijada para el que había sido puesto en libertad.
"Los sitios no parcheados para el miércoles, 2018-04-11 puede verse comprometida. Esta es la fecha en que surgió evidencia de intentos de ataques automatizados. Es posibles ataques dirigidos ocurrieron antes de eso,”Según lo declarado por el equipo de seguridad de Drupal.
¿Cómo surgió el problema?
De acuerdo con SANS ISC CTO Johannes Ullrich, con la actualización de marzo, Drupal añadió una función global de saneamiento. Este enfoque es a menudo difícil de aplicar correctamente, dijo en una revisión de CVE-desde 2.018 hasta 7600, agregando que:
Es muy difícil para desinfectar y validar los datos antes de que sea clara la forma en que se está utilizando, en particular, si esto se hace para una aplicación existente y complejo como Drupal. Veremos cómo va a funcionar para Drupal en el largo plazo.
No es sorprendente, CVE-2018-7602 se relaciona con el error anterior, y fue descubierto por el mismo investigador y miembros del equipo de seguridad de Drupal. Como ya se ha mencionado, la falla está actualmente explotado en la naturaleza. De acuerdo con Netlab 360 los investigadores de seguridad análisis, hay un gran número de exploraciones en Internet contra CVE-2018-7600, y esto también se aplica a la segunda vulnerabilidad.
En los ataques basados en CVE-2018-7600, el comportamiento de gusano de propagación se observó en algunos casos. Después de algunas investigaciones, los investigadores llegaron a la conclusión de que esta botnet asociada ha estado activo desde hace bastante tiempo.
¿Cómo se llevan a cabo los ataques?
Los atacantes localizar instalaciones de Drupal vulnerables, explotar la falla, e instalar mineros criptomoneda y malware DDoS en servidores comprometidos. Además de eso, puertas traseras también se despliegan en estos ataques, que permite a los piratas informáticos para acceder al sistema comprometido cuando quieran. Por lo tanto, además de aplicar los parches necesarios, Drupal administradores deben asegurarse de comprobar si sus instalaciones han sido previamente backdoored.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: