Droga! Você precisa atualizar seus sites do Drupal.
Sim, claro, mais uma vez – literalmente, é a terceira vez nos últimos 30 dias.
Como notificado com antecedência dois dias atrás, o Drupal já lançou novas versões de seu software para corrigir mais uma vulnerabilidade crítica de execução remota de código (RCE), afetando seu núcleo Drupal 7 e 8.
O Drupal é um popular software de sistema de gerenciamento de conteúdo de código aberto que alimenta milhões de sites e, infelizmente, o CMS está sob ataques ativos desde a divulgação de uma vulnerabilidade de execução remota de código altamente crítica.
A nova vulnerabilidade foi descoberta enquanto explorava a vulnerabilidade de RCE divulgada anteriormente, apelidada de Drupalgeddon2 (CVE-2018-7600) que foi corrigida em 28 de março, forçando a equipe do Drupal a liberar essa atualização de patch de acompanhamento.
De acordo com um novo comunicado divulgado pela equipe, a nova vulnerabilidade de execução remota de código (CVE-2018-7602) também pode permitir que invasores invadam completamente sites vulneráveis.
Como a falha anteriormente divulgada deu muita atenção e motivou os invasores a segmentar sites que rodam sobre o Drupal, a empresa instou todos os administradores de sites a instalar novos patches de segurança o mais rápido possível.
Se você estiver executando o 7.x, atualize para o Drupal 7.59.
Se você estiver executando o 8.5.x, atualize para o Drupal 8.5.3.
Se você estiver executando a versão 8.4.x, que não é mais suportada, primeiro será necessário atualizar seu site para a versão 8.4.8 e, em seguida, instalar a última versão 8.5.3 o mais rápido possível.
Também deve ser notado que os novos patches funcionarão somente se o seu site já tiver aplicado patches para a falha do Drupalgeddon2.
“Não estamos cientes de quaisquer explorações ativas na natureza para a nova vulnerabilidade”, disse um porta-voz do drupal ao The Hacker News. “Além disso, a nova falha é mais complexa de se juntar em uma exploração.”
Detalhes técnicos da falha, pode ser nomeado Drupalgeddon3, não foram liberados no aviso, mas isso não significa que você pode esperar até a manhã seguinte para atualizar seu site, acreditando que não será atacado.
Vimos como os invasores desenvolveram explorações automatizadas, aproveitando a vulnerabilidade do Drupalgeddon2 para injetar minas criptografadas, backdoors e outros malwares em sites, dentro de poucas horas após a publicação detalhada do produto.
Além dessas duas falhas, a equipe também corrigiu uma vulnerabilidade moderada de cross-site scripting (XSS) na semana passada, que poderia permitir que atacantes remotos realizassem ataques avançados, incluindo roubo de cookies, keylogging, phishing e roubo de identidade.
Portanto, os administradores do site Drupal são altamente recomendados para atualizar seus sites o mais rápido possível.
