Os hackers começaram a explorar uma vulnerabilidade crítica divulgada recentemente no Drupal logo após o lançamento público do código de exploração de trabalho.
Duas semanas atrás, a equipe de segurança do Drupal descobriu uma vulnerabilidade de execução remota de código altamente crítica, apelidada de Drupalgeddon2, em seu software de sistema de gerenciamento de conteúdo que poderia permitir que os invasores assumissem completamente os sites vulneráveis.
Para resolver essa vulnerabilidade, a empresa lançou imediatamente versões atualizadas do Drupal CMS sem liberar detalhes técnicos da vulnerabilidade, dando a mais de um milhão de sites tempo suficiente para corrigir o problema.
Dois dias atrás, pesquisadores de segurança da Check Point e da Dofinity publicaram detalhes técnicos completos sobre essa vulnerabilidade (CVE-2018-7600), usando um pesquisador de segurança russo que publicou um código de exploração de prova de conceito (Drupalgeddon2) no GitHub.
A vulnerabilidade do Drupalgeddon2 que afeta todas as versões do Drupal de 6 a 8 permite que um invasor remoto não autenticado execute código mal-intencionado em instalações padrão ou comuns do Drupal.
De acordo com a divulgação do ponto de verificação, a vulnerabilidade existe devido ao saneamento insuficiente de entradas passadas por meio de solicitações AJAX do Form API (FAPI).
“Como resultado, isso permitiu que um invasor injetasse potencialmente uma carga maliciosa na estrutura interna do formulário. Isso faria com que o Drupal o executasse sem autenticação do usuário”, disseram os pesquisadores da Check Point.
“Ao explorar esta vulnerabilidade, um invasor teria conseguido realizar uma aquisição total do site de qualquer cliente do Drupal.”
No entanto, logo após o lançamento público da exploração do PoC, que muitos confirmaram ser funcional, pesquisadores da Sucuri, Imperva e do SANS Internet Storm Center começaram a ver tentativas de explorar o Drupalgeddon2, embora nenhum ainda tenha visto nenhum relato de sites sendo invadidos. .
Os administradores de sites que ainda executam versões vulneráveis do Drupal são altamente recomendados para corrigir a vulnerabilidade, atualizando seu CMS para o Drupal 7.58 ou Drupal 8.5.1 o mais rápido possível para evitar explorações.
A vulnerabilidade também afeta o Drupal 6, que não é mais suportado pela empresa desde fevereiro de 2016, mas um patch para a versão ainda foi criado.