Administradores de Drupal: prepárense para un nuevo parche de emergencia para una vulnerabilidad crítica
El primer parche de Drupal para el "Drupalgeddon 2" aparentemente resultó insuficiente, lo que provocó una liberación programada de otro parche para este miércoles
Una vez más, los desarrolladores de Drupal están preparando un parche fuera de banda de emergencia para una vulnerabilidad crítica en el popular sistema de administración de contenido. El aviso de seguridad indica que se lanzará otro parche entre las 16:00 y las 18:00 UTC del 25 de abril de 2018. (Como referencia, eso es entre las 12:00 y las 2:00 p.m. Del mismo día, en el horario de verano del este.)
Se proporcionarán parches para las ramas 7.x, 8.4.x y 8.5.x de Drupal.
Los detalles específicos de la vulnerabilidad no están claros, ya que los desarrolladores no han proporcionado ningún indicio de la naturaleza del problema antes del lanzamiento del parche. Sin embargo, el aviso sí nota que es una continuación del parche emitido el mes pasado en respuesta a la vulnerabilidad de seguridad "Drupalgeddon 2", que se relacionaba con un conflicto entre cómo maneja PHP las matrices en parámetros y el uso de hash (#) de Drupal al comienzo de las teclas de matriz para indicar claves especiales que generalmente resultan en un mayor cálculo.
Para corregir esa vulnerabilidad, se agregó una verificación de la entrada /includes/bootstrap.inc en el código de Drupal. El conocido desarrollador Scott Arciszewski de Paragon Initiative indicó que la nueva vulnerabilidad "probablemente no implique romper el intérprete de PHP".
A pesar de la preocupación de preanunciar una vulnerabilidad urgente por parte de los desarrolladores, aparentemente muchas instalaciones Drupal permanecen sin parchear. La red zombi Muhstik ha sido observada por Netlab 360 infectando instancias vulnerables de Drupal e implantando el software de minería de criptomonedas xmrig y cgminer. El informe de Netlab 360 postula que la propagación también está ocurriendo desde los servidores con instancias de Drupal infectadas. La botnet también apunta a vulnerabilidades parcheadas en ClipBucket, DasanNetwork Solution, Webdav, WebLogic, Webuzo y WordPress, dice el informe. Además de Muhstik, otros dos grupos de malware también han sido identificados como explotadores activos de la vulnerabilidad.
Los sistemas de administración de contenido como Drupal, así como las plataformas de blogs como WordPress, son objetivos populares para los piratas informáticos, debido a su naturaleza generalizada. La página de estadísticas de uso de Drupal indica que el software tiene aproximadamente 1,1 millones de sitios web. En particular, Drupal ha sido vulnerable a vulnerabilidades importantes, como lo demostró la vulnerabilidad original de inyección SQL "Drupalgeddon" de 2014.
Para los administradores de las instalaciones de Drupal que por algún motivo no se pueden reparar, el paquete Deep Security de Trend Micro ofrece filtros para la vulnerabilidad original de Drupalgeddon 2 para evitar que los atacantes tomen el control de los sistemas vulnerables.