Η ομάδα της Drupal CMS ανακοίνωσε ότι έχει διορθωθεί ένα μεγάλο κενό ασφαλείας που υπήρχε και επέτρεπε στους “hackers” να παραβιάζουν οποιοδήποτε URL. Αυτό αυτόματα σημαίνει πως οι ιδιοκτήτες Drupal site θα πρέπει να αναβαθμίσουν τα site σε Drupal 7.58 ή Drupal 8.5.1, ανάλογα την έκδοση που χρησιμοποιεί η κάθε ιστοσελίδα.
Η ομάδα της Drupal προ-ανακοίνωσε τα πρόσφατα patches την προηγούμενη εβδομάδα και αναφέρει ότι τα κενά ασφαλείας μπορούν να τα εκμεταλλευτούν κακόβουλοι μέσα σε λίγες ώρες μετά την γνωστοποίηση του κενού ασφαλείας.
Η Drupal επηρεάστηκε από μη-αυθεντικό RCE κενό
Το αναγνωριστικό CVE-2018-7600 επιτρέπει στον “hacker” να χρησιμοποιήσει αποδοτικά οποιοδήποτε κωδικό επιθυμεί εναντίον ολόκληρου του πυρήνα του CMS παραβιάζοντας τον έλεγχο του site. Ο “hacker” δεν είναι απαραίτητο να είναι εγγεγραμμένος η πιστοποιημένος στο συγκεκριμένο site και αυτό που έχει να κάνει είναι να αποκτήσει πρόσβαση στο URL.
Drupalgeddon
Η κοινότητα της Drupal έχει ήδη δώσει το ψευδώνυμο Drupalgeddon2 σε αυτό το κενό ασφαλείας μετά και από το Drupalgeddon security Βug (CVE-2014-3704, SQL injection, severity 25/25) που έλαβε χώρα το 2014 και οδήγησε στο χακάρισμα πολυάριθμων Drupal site μέσα στο επόμενα χρόνια.
Η ομάδα της Drupal ανακοίνωσε ότι δεν έχει παρατηρηθεί κάποια κακόβουλη επίθεση που να εκμεταλλεύτηκε αυτό το κενό ασφαλείας την στιγμή που εκδόθηκε το security alert, ωστόσο όσοι ασχολούνται με το θέμα από την επίσημη ομάδα Drupal μέχρι και τους αυτόνομους ερευνητές ασφαλείας αναμένουν το κενό ασφαλείας να αρχίσει να αξιοποιείται μέσα σε μερικές ώρες ή μέρες.
EOLed Drupal 6 also affected
Πέρα από τις διορθώσεις στις δύο βασικές εκδόσεις της Drupal -7.x και 8.x- η ομάδα της Drupal ανακοίνωσε patches και για την αρχαία έκδοση 6.x η οποία έφτασε το τέλος ζωής της το 2016. Τα firewall σε επίπεδο web αναμένεται να λάβουν αναβαθμίσεις μέσα στις επόμενες μέρες για να αντεπεξέλθουν στις επιθέσεις.
Οι developer της Drupal συνιστούν την εγκατάσταση του patch εάν αυτό είναι δυνατό, εναλλακτικά λύσεις μετριασμού του προβλήματος όπως προσωρινή αντικατάσταση της Drupal σελίδας με μια στατική html σελίδα, έτσι ώστε οι ευάλωτες σελίδες της εγκατάστασης Drupal να μην είναι προσβάσιμες. Επιπρόσθετα οποιεσδήποτε ενεργές ή σε ανάπτυξη σελίδες θα πρέπει να αναβαθμιστούν ή να τεθούν offline μέχρι να εγκατασταθεί το patch.
