El equipo detrás del popular CMS de Drupal ha lanzado esta semana actualizaciones de seguridad para parchear una vulnerabilidad crítica que es fácil de explotar y puede otorgar a los atacantes un control total sobre los sitios vulnerables.
Registrada como CVE-2020-13671, la vulnerabilidad es ridículamente fácil de explotar y se basa en el viejo truco de la «doble extensión». Los atacantes pueden agregar una segunda extensión a un archivo malicioso, cargarlo en un sitio de Drupal a través de campos de carga abiertos y ejecutarlo.
Drupal, que es actualmente el cuarto CMS más utilizado en Internet después de WordPress, Shopify y Joomla, calificó a la vulnerabilidad como «Crítica», y advirtió a los propietarios de sitios que parcheen lo antes posible.
Por ejemplo, un archivo malicioso como «malware.php» podría cambiarse a «malware.php.txt». Cuando se carga en un sitio Drupal, el archivo se clasificaría como un archivo de texto en lugar de un archivo PHP, pero Drupal terminaría ejecutando el código PHP malicioso al intentar leer el archivo de texto.
Los desarrolladores de Drupal instan a los administradores del sitio a revisar los archivos subidos recientemente. Normalmente, se detectarían archivos con dos extensiones, pero en un aviso de seguridad publicado el miércoles, los desarrolladores de Drupal dijeron que la vulnerabilidad reside en el hecho de que Drupal CMS no desinfecta «ciertos» nombres de archivos, lo que permite que se escapen algunos archivos maliciosos.
Los desarrolladores de Drupal dicen que esto «puede llevar a que los archivos interpreten la extensión incorrecta y sirvan el tipo MIME incorrecto o se ejecuten como PHP para ciertas configuraciones». Se lanzaron actualizaciones de seguridad para las versiones 7, 8 y 9 de Drupal para corregir los procedimientos de desinfección de carga de archivos. Pero el equipo de Drupal también insta a los administradores del sitio a revisar las cargas recientes de archivos con dos extensiones; en caso de que el error haya sido descubierto y explotado por atacantes antes del parche.
Las extensiones «no exhaustiva» a revisar son: phar, php, pl, py, cgi, asp, js, html, htm, phtml.
Es sorprendente que se haya descubierto un error de este tipo en Drupal. El truco de la doble extensión es uno de los más antiguos del libro y es uno de los principales vectores de ataque que los productos CMS validan al procesar los campos de carga.
Se deben instalar las siguiente versiones:
- Drupal 9.0, actualizar a Drupal 9.0.8
- Drupal 8.9, actualizar a Drupal 8.9.9
- Drupal 8.8, actualizar a Drupal 8.8.11
- Drupal 7, actualizar a Drupal 7.74