Drupal es uno de los sistemas de gestión de contenidos (CMS) más utilizados en toda la red ocupando el tercer puesto tras WordPress y Joomla. Un gran número de páginas web (incluso webs de gran prestigio como MTV, Sony Music o la web de Harvard) lo utilizan para dar servicio a sus visitantes. Mantener estos sistemas actualizados es vital para preservar la seguridad tanto de sus webs como de los datos de sus usuarios y, una vez más esta afirmación vuelve a demostrarse.
Todas las páginas web gestionadas por Drupal que no tengan instaladas las últimas actualizaciones publicadas en 15 de octubre de 2014 están expuestas a una serie de ataques de inyección SQL. Se ha demostrado que los piratas informáticos están lanzando ataques automáticos contra todo tipo de páginas web basadas en Drupal 7 que no tengan instalados los últimos parches de seguridad y sean vulnerables a este ataque SQL.
Prácticamente a la vez que la vulnerabilidad se hizo pública con el lanzamiento del parche, los piratas informáticos comenzaron a buscar y atacar páginas web vulnerables por este fallo. Los piratas informáticos que atacan estas páginas lo hacen sin la necesidad de autenticarse en el servidor y sin dejar rastro, lo que ha catalogado a la vulnerabilidad y al parche correspondiente como «muy críticos» con una puntuación máxima de 25 sobre 25 puntos.
Un pirata informático podría robar cualquier tipo de información de una web vulnerable (datos de usuarios, bases de datos e incluso cualquier tipo de archivos) y sería capaz de instalar malware, una puerta trasera o un sistema de control remoto en el servidor para tener acceso a él al 100%.
El parche publicado por Drupal soluciona la vulnerabilidad e impide futuros ataques pero, si una web ya ha sido comprometida, el parche no evitará que dicha web siga en manos de los piratas informáticos, por lo que habría que llevar a cabo una serie de acciones manuales para solucionarlo:
- Desconectar la web de la red.
- También se deben revisar el resto de aplicaciones web por si se ha instalado una backdoor en una de ellas que pueda seguir comprometiendo nuestro servidor.
- Si podemos permitirlo, es recomendable formatear por completo el sistema e incluso cambiar de servidor manteniendo la copia de seguridad de la web y de las bases de datos para un futuro análisis.
- Restaurar una copia de seguridad en el nuevo servidor de nuestra página web y del resto de servicios realizada antes del 15 de octubre.
- Actualizar Drupal con todos los parches de seguridad disponibles.
- Volver a poner en línea nuestra página web.
- Volver a añadir manualmente todos los cambios introducidos desde la fecha en que se ha visto comprometida la web, auditando el código para asegurarnos de que nada de lo que añadamos está comprometido.
- Comprobar que la nueva web está segura y no hay indicios de un posible ataque oculto que haya podido quedar en el servidor mediante una puerta trasera (por eso lo de cambiar el servidor completo).
En algunos casos los piratas informáticos han modificado la web para que parezca que está actualizada y no es vulnerable. Si no se ha actualizado la versión de Drupal manualmente es posible que nuestra web esté siendo víctima de un pirata informático y todo nuestro servidor esté comprometido.
¿Tienes una página web gestionada por Drupal? ¿Has instalado los parches de seguridad para protegerla?
Fuente: The Hacker News