¡Rayos! Tienes que actualizar tus sitios web de Drupal. Sí, así es, una vez más. Literalmente es la tercera vez en los últimos 30 días.

Como se notificó con anticipación hace dos días, Drupal ha hecho públicas nuevas versiones de su software para corregir otra vulnerabilidad de ejecución remota de código (RCE, por sus siglas en inglés), que afecta al núcleo de Drupal 7 y 8.

Drupal es un popular software de sistema de gestión de contenido (CMS, por sus siglas en inglés), de código abierto, que soporta millones de sitios web. Desafortunadamente, el CMS ha estado bajo ataques activos desde que se descubrió una vulnerabilidad de ejecución remota de código altamente crítica.

La nueva vulnerabilidad se descubrió al explorar la vulnerabilidad de RCE divulgada anteriormente, denominada Drupalgeddon2 (CVE-2018-7600) de la que se proporcionó un parche el 28 de marzo. Lo que obligó al equipo de Drupal a publicar esta actualización del parche de seguimiento.

Según un nuevo anuncio publicado por el equipo, la nueva vulnerabilidad de ejecución remota de código (CVE-2018-7602) también podría permitir a los atacantes tomar el control de sitios web vulnerables por completo.

Cómo parchar la vulnerabilidad de Drupal, Drupalgeddon3

Dado que la falla divulgada anteriormente generó mucha atención y desencadenó ataques a los sitios web basados en Drupal, la compañía ha instado a todos los administradores de sitios web a instalar nuevos parches de seguridad tan pronto como sea posible.

• Si está ejecutando 7.x, actualice a Drupal 7.59.

• Si está ejecutando 8.5.x, actualice a Drupal 8.5.3.

• Si está ejecutando 8.4.x, que ya no tiene soporte, primero necesita actualizar su sitio a la versión 8.4.8 y luego instalar la última versión 8.5.3 lo antes posible.

También se debe tener en cuenta que los nuevos parches solo funcionarán si su sitio ya ha aplicado actualizaciones para la falla de Drupalgeddon2.

"No tenemos conocimiento de ningún exploit activo en internet para la nueva vulnerabilidad", dijo un portavoz de Drupal a The Hacker News. "Además, la nueva vulnerabilidad es más compleja como para formar un exploit efectivo". Esto cambiaría cinco horas después, cuando se descubrió que ya había ataques en el medio que aprovechaban la vulnerabilidad.

Los detalles técnicos de la falla, que podría nombrarse como Drupalgeddon3, no se han publicado en los avisos de seguridad, pero eso no significa que uno pueda esperar hasta la mañana siguiente para actualizar su sitio web, creyendo que no será atacado.

Se ha observado cómo los atacantes desarrollaron exploits automatizados explotando la vulnerabilidad de Drupalgeddon2 para inyectar mineros de criptomonedas, puertas traseras y otros programas maliciosos en los sitios web, pocas horas después de que se publicara su informe detallado.

Además de estas dos vulnerabilidades, el equipo también corrigió una vulnerabilidad de Cross Site Scripting (XSS) moderadamente crítica la semana pasada, lo que podría haber permitido a los atacantes remotos realizar ataques avanzados como robo de cookies, captura de teclas, phishing y robo de identidad.

Por lo tanto, se recomienda encarecidamente a los administradores de sitios web de Drupal a actualizar sus sitios web lo antes posible.

Artículos relacionados: 

• Ciberatacantes aprovechan una vulnerabilidad en Drupal a cinco horas de ser revelada
• Hackers aprovechan exploit para Drupal revelado recientemente