#Drupalgeddon2: vulnerabilidad de Drupal Core altamente crítica afecta a más de 1 millón de sitios (Parchea YA!)

El equipo de seguridad de Drupal anunció una vulnerabilidad de ejecución de código remoto (RCE) sin autenticación previa y sumamente crítica en el núcleo de Drupal CVE-2018-7600. La vulnerabilidad permite a un atacante aprovechar múltiples vectores de ataque y tomar el control completo de un sitio web. El equipo de Drupal estima que, en el momento del anuncio, más de un millón de sitios se ven afectados, alrededor del 9% de los sitios de Drupal. También informaron que, según su conocimiento, no estaba siendo activamente explotado.

El equipo de Drupal preanunció los parches la semana pasada cuando dijo que "los exploits podrían desarrollarse en cuestión de horas o días" después de la divulgación de hoy.

Los propietarios del sitio deben actualizar a una versión segura del núcleo de Drupal inmediatamente. Si bien los informes de que no hay exploits activos son reconfortantes, el anuncio atraerá mucha atención de los atacantes. Dada la naturaleza de la vulnerabilidad, habrá literalmente una carrera entre los propietarios del sitio mejorando y los atacantes descubriendo un exploit.

Aquí hay un resumen de alto nivel de las acciones impactadas y recomendadas de las versiones:

• Los sitios que ejecutan Drupal 8.x deben actualizarse a la versión 8.5.1
• Los sitios que ejecutan Drupal 7.x deben actualizarse a la versión 7.58
• Hay parches disponibles para las versiones 8.3.x y 8.2.x
• Los sitios con versiones al final de su vida útil necesitarán actualizarse a una versión compatible de Drupal.
• Drupal también anució los parches de la versión 6.x discontinuada en febrero de 2016.

En Drupal.org, encontrará una descripción más detallada de las recomendaciones de actualización del equipo de seguridad de Drupal. También han publicado preguntas frecuentes detalladas .

Al observar la diferencia de los parches proporcionados por el equipo de Drupal, revelan una nueva clase DrupalRequestSanitizer usada para limpiar la entrada del usuario.
Esta clase se usa para filtrar valores de la cadena de consulta, el cuerpo del mensaje y las cookies que comienzan con "#".
Aún no se ha hecho pública una prueba de concepto que demuestre el ataque, pero esperamos que esté disponible pronto.

Este ataque ha recibido el apodo de "Drupalgeddon 2". El Drupalgeddon anterior de 2014 era un SQL tan grave en este aspecto , y tuvo ataques automatizados contra sitios Drupal no reparados en cuestión de horas después de que se realizara el anuncio público de la vulnerabilidad.

Con una simple petición con cURL se puede conseguir ejecutar código en el servidor. Se puede inyectar la propiedad #post_render con funcions PHP como passthru, exec, check, system u otros comandos para conseguir obtener información o incluso una shell reversa como con este script de a2u y nixawk.

Actualización 22/04/2018: según informan en ArsTechnica, atacantes están explotando activamente la vulnerabilidad parcheada en Drupal, que ha recibido el nombre informal de Drupalgeddon2 y cuyo código es CVE- 2018-7600. La vulnerabilidad no requiere de ningún tipo de cuenta para ser explotada, siendo una ejecución de código en remoto.

Fuente: Y2kWebs