Boletín de Seguridad UNAM-CERT-2018-001 Vulnerabilidad crítica en sistemas Drupal

Fecha liberación: 
25/04/2018
Fuente: 
https://www.drupal.org/sa-core-2018-004
Riesgo: 
Crítico

Descripción

Se ha identificado una vulnerabilidad crítica que afecta Drupal (CVE-2018-7602), esta vulnerabilidad permite a cualquier atacante autenticado, es decir que cuente con privilegios de usuario dentro del manejador, realizar la ejecución remota de código en los millones de sitios que tengan implementado este popular gestor de contenidos (CMS).

Esta vulnerabilidad se suma a la ya descubierta el día 28 de marzo de 2018 (CVE-2018-7600) la cual permite a cualquier atacante sin necesidad de autenticarse, la ejecución remota de código mediante un exploit que se encuentra disponible para todo público, por lo que la actualización de los sistemas afectados debe ser inmediata.

De acuerdo con el aviso lanzado por el equipo de Drupal, la nueva vulnerabilidad (CVE-2018-7602) podría incluso permitir tomar el control total de los sitios vulnerables.

Impacto

La vulnerabilidad (SA-CORE-2018-002 / CVE-2018-7600) en los gestores de contenido Drupal permite a cualquier atacante sin necesidad de esta autenticado, la ejecución de código de forma remota y la vulnerabilidad (SA-CORE-2018-004 / CVE-2018-7602) permite a los usuarios autenticados en el gestor, de igual manera, la ejecución de código de forma remota en los sitios web que tengan implementadas versiones vulnerables.

Sistemas afectados

  • Drupal 7.x
  • Drupal 8.4.x
  • Drupal 8.5.x
  • Drupal 6, aunque ya no existe soporte para esta versión.

Solución

Actualizar a la brevedad o aplicar los parches de seguridad lanzados por Drupal.

  • Se tiene implementado Drupla 7.x, actualizar a Drupal 7.59.
  • Se tiene implementado Drupla 8.5.x, actualizar a Drupal 8.5.3.
  • Se tiene implementado Drupla 8.4, actualizar a Drupal 8.4.8.

Aunque la versión 8.4 de Drupal ya no cuenta con soporte de seguridad, se ha lanzado esta actualización para que los administradores la puedan aplicar a la brevedad y posteriormente puedan actualizar a la versión 8.5.3 lo antes posible.

En caso de que la actualización del gestor no se pueda realizar de manera inmediata o la versión con la que se cuente no tenga actualización de seguridad, también se puede optar por aplicar los parches mostrados a continuación hasta que puedan realizar una actualización completa:

Estos parches únicamente funcionaran si el sitio cuenta con la solución (SA-CORE-2018-002) aplicada.

Recomendaciones

  • Actualizar a la brevedad.
  • Aplicar los parches de seguridad.
  • Desconectar de la red los equipos posiblemente afectados.

Referencias

  • https://www.drupal.org/sa-core-2018-002
  • https://www.drupal.org/sa-core-2018-004
  • https://www.drupal.org/psa-2018-003
  • https://www.seguridad.unam.mx/hackers-aprovechan-exploit-para-drupal-revelado-recientemente

 

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Víctor Enrique Arteaga Lona (victor dot arteaga at cert dot unam dot mx)
  • Demian García (demian dot garcia at cert dot unam dot mx)

 

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
http://www.seguridad.unam.mx
Tel: 56 22 81 69