Blog

Noticias y eventos

ANTECEDENTES

El pasado 25 de febrero se publicó en una conocida plataforma (Exploit DataBase), un exploit de ejecución de código remoto válida sobre una vulnerabilidad hasta ahora desconocida que afectaba todas las versiones de DRUPAL hasta la <= 8.6.9. Siendo la última versión la 8.6.10.

EXPLOITS DE TIPO RCE

Los exploits RCE (Remote Code Executions) permiten al atacante ejecutar código directamente en el servidor que sustenta el servicio vulnerable. Dentro de este género existen los “authenticated” y “unauthenticated”, necesitando del atacante una sesión de usuario válida dentro del servicio para poder explotarlo.

El verdadero peligro es la capacidad del atacante para inyectar código y forzar a que se genere una consola de comandos y conseguir acceso total al equipo. Pudiendo interceptar todas las conexiones del servicio, exfiltrar credenciales, robo de datos, etc. Terminando con posibles movimientos de post explotación en el que pueda propagarse por toda la red de la víctima.

 

VULNERABILIDAD DRUPAL <= 8.6.9

La vulnerabilidad fue reportada el pasado 20 de febrero de 2019, pero no fue hasta el 25 cuando se publicó un exploit público accesible a todos.

 

Un sitio solo se ve afectado por esto si se cumple una de las siguientes condiciones:

 

Descripción CVE Exploit Nota
El sitio tiene que tener habilitado el módulo REST full Web Services y permite solicitudes de PATCH o POST, o el sitio tiene otro módulo de servicios web habilitado, como JSON:API en Drupal 8, o Servicios web REST full en Drupal 7. CVE-2019-6340 exploit-db 8.1 HIGH CRITICAL

 

  Se recomienda la validación de dicho exploit en su sitio web.

 

ALCANCE DEL EXPLOIT

El hecho de que la versión vulnerable esté tan cerca de la última en producción implica una gran mayoría de instalaciones de Drupal vulnerables.

En el buscar de shodan.io podemos encontrar numerosos portales vulnerables. 


MITIGACIÓN

Resolución de la vulnerabilidad por parte de Drupal: https://www.drupal.org/sa-core-2019-003

Como indica en su página sobre la vulnerabilidad:

 

  • Si está utilizando Drupal 8.6.x, actualice a Drupal 8.6.10.
  • Si está utilizando Drupal 8.5.x o una versión anterior, actualice a Drupal 8.5.11.

 

Las versiones de Drupal 8 anteriores a 8.5.x son al final de su vida útil y no reciben cobertura de seguridad.