Drupal, millones de sitios en el mundo deben ser actualizados

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Drupal, el popular sistema de gestión de contenido de código abierto, ha lanzado una nueva versión de su software para parchear una vulnerabilidad de derivación de seguridad que podría permitir a un atacante remoto tomar el control de los sitios web afectados.

La vulnerabilidad, rastreada como CVE-2018-14773, reside en un componente de una biblioteca de terceros, llamado componente Symfony HttpFoundation, que se está utilizando en Drupal Core y afecta a las versiones de Drupal 8.x anteriores a 8.5.6.

Debido a que Symfony, un marco de aplicaciones web con un conjunto de componentes PHP, está siendo utilizado por muchos proyectos, la vulnerabilidad podría potencialmente poner a muchas aplicaciones web en riesgo de pirateo.

Vulnerabilidad de los componentes de Symfony

Según un aviso publicado por Symfony, la vulnerabilidad de omisión de seguridad se origina debido al soporte de Symfony para encabezados HTTP legacy y arriesgados.

“Soporte para un encabezado (heredado) IIS que permite a los usuarios anular la ruta en la URL de solicitud a través del encabezado de solicitud X-Original-URL o X-Rewrite-URL HTTP permite a un usuario acceder a una URL pero Symfony devuelve una diferente que puede eludir las restricciones en cachés de nivel superior y servidores web “, dijo Symfony.

Un ataque remoto puede explotarlo con un valor de encabezado HTTP ‘X-Original-URL’ o ‘X-Rewrite-URL’ especialmente diseñado, que anula la ruta en la URL de solicitud para evitar potencialmente las restricciones de acceso y hacer que el sistema objetivo represente una URL diferente

La vulnerabilidad se ha corregido en Symfony versión 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 y 4.1.3, y Drupal ha parcheado el problema en su última versión 8.5.6.

El mismo defecto existe en Zend Framework

Además de Symfony, el equipo de Drupal descubrió que también existe una vulnerabilidad similar en las bibliotecas Zend Feed y Diactoros incluidas en Drupal Core, a las que denominaron ‘URL Rewrite vulnerabilidad’.

Sin embargo, el popular CMS dijo que Drupal Core no usa la funcionalidad vulnerable, pero recomendó a los usuarios que parcheen su sitio web, si su sitio o módulo usa Zend Feed o Diactoros directamente.

Drupal impulsa millones de sitios web y, desafortunadamente, el CMS ha estado recientemente bajo ataques activos desde que se descubrió una vulnerabilidad de ejecución remota de código altamente crítica, llamada Drupalgeddon2.

Por lo tanto, antes de que los cibercriminales comenzaran a explotar el nuevo error para tomar el control de su sitio web, le recomiendo actualizar sus sitios lo antes posible.

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris