Drupal: bajo ataque de Drupalgeddon3

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Solo unas horas después de que el equipo de Drupal lanzó las últimas actualizaciones para corregir un nuevo error de ejecución remota de código en su software de sistema de administración de contenido, los hackers ya comenzaron a explotar la vulnerabilidad en este ecosistema.

Anunciada hace pocos días, la vulnerabilidad descubierta recientemente (CVE-2018-7602) afecta a Drupal 7 y 8 core y permite a los atacantes remotos lograr exactamente lo mismo que permitió Drupalgeddon2 (CVE-2018-7600): realización completa de los sitios web afectados.

Aunque el equipo de Drupal no ha revelado ningún detalle técnico de la vulnerabilidad para evitar su explotación inmediata, dos piratas informáticos individuales han revelado algunos detalles, junto con un ataque de prueba de concepto tan solo unas horas después del lanzamiento del parche.

Todos recordamos que la publicación del exploit PoC de Drupalgeddon2 llamó mucho la atención, lo que finalmente permitió a los atacantes secuestrar activamente sitios web y difundir criptomonedas, puertas traseras y otros tipos de malware.

Como era de esperar, el equipo de Drupal ha advertido que la nueva falla en la ejecución del código remoto, podríamos llamarla Drupalgeddon3, ahora se está explotando activamente en el ecosistema, dejando de nuevo millones de sitios web vulnerables a los deseos de los cibercriminales.

Drupal exploit-code

El proceso de explotación de la falla Drupalgeddon3 es similar a Drupalgeddon2, excepto que requiere una carga útil ligeramente diferente para engañar a los sitios web vulnerables y ejecutar la carga maliciosa en el servidor de la víctima.

Drupalgeddon3 reside debido a la validación de entrada incorrecta en Form API, también conocida como “matrices renderizables”, que representa los metadatos para generar la estructura de la mayoría de los elementos de la interfaz de usuario (interfaz de usuario) en Drupal.

Estas matrices renderizables son una estructura de clave-valor en la que las claves de propiedad comienzan con un signo de numeral (#).

 

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris