[Drupal] Scoperta una grave vulnerabilità RCE: cosa fare per mettersi in sicurezza

Drupal è considerato un CMS sicuro, grazie all'alta qualità del codice, all'alto livello degli sviluppatori, e alla sua struttura granulare. Ma il 28 marzo è stata scoperta una vulnerabilità molto seria proprio nel sistema base che permette all'attaccante di compromettere il sito. L'informativa non riporta dettagli tecnici, per non aiutare i malintenzionati. Ma la classificazione di “Highly critical” con punteggio di 23/25 non lascia spazio a dubbi: bisogna chiuderla!

Il consiglio per chiunque gestisca un sito fatto con Drupal 6, 7 o 8 è di leggere attentamente le informazioni in questa pagina e pianificare subito l'aggiornamento. In questi casi non si può fare finta di nulla.

Se il tuo sito è fatto con Drupal ma non possiedi le competenze necessarie per risolvere questa vulnerabilità, contattaci per una valutazione senza impegno.


Problema

Il problema riguarda il modo in cui Drupal tratta i dati ricevuti tramite moduli (form). Nonostante vengano sanificati, è possibile aggirare il meccanismo, aprendo la porta all'esecuzione arbitraria di comandi non previsti (remote code execution o RCE), compresa la creazione di file.

Una volta creati file arbitrari nel server, il sito è alla mercé dell'attaccante. Questi potrà ad esempio esportare tutti i dati verso un server remoto, e soprattutto predisporre delle entrate nascoste (backdoor). Così potrà rientrare nel sito in ogni momento, anche quando il problema sarà risolto!

L'informativa di sicurezza è stata diffusa il 28 marzo 2018. La vulnerabilità riguarda tutte le versioni di Drupal più usate: Drupal 6, 7 e 8.


Cosa fare

Gli sviluppatori di Drupal hanno subito reso disponibili le nuove versioni del sistema, dove la vulnerabilità è stata corretta: Drupal 7.58, Drupal 8.4.8 e Drupal 8.5.1. Il consiglio è di aggiornare immediatamente. Chi usa Drupal 8.4, invece di installare la versione 8.4.8 può installare direttamente la 8.5.1. E per il vecchio Drupal 6? Purtroppo nulla: essendo a fine vita, questa versione non gode più di aggiornamenti di sicurezza. Se usi ancora Drupal 6 ti conviene affidarti a degli esperti di Drupal per  mettere in sicurezza il sito, e poi organizzare il passaggio a una versione attuale. 

Nei siti molto personalizzati, dove l'aggiornamento del sistema base risulta lungo o problematico, si può applicare subito la correzione specifica (patch), scaricabile qui per Drupal 7 e scaricabile qui per Drupal 8. Ma queste sono “pezze” limitate, con funzioni di emergenza. Resta fondamentale aggiornare il prima possibile il sistema alla versione 7.58 o alla 8.5.1.


Aggiornamenti dell'11 aprile 2018 e del 25 aprile 2018:

Dopo la prima informativa, il gruppo di sicurezza di Drupal ha verificato la presenza di bot su Internet che sfruttano il problema. Il punteggio della vulnerabilità è stato elevato a 25/25: il massimo possibile. Chi non avesse ancora messo in sicurezza il proprio sito, da oggi non può più essere certo che non sia stato violato.

Di conseguenza, le cose da fare diventano due: applicare subito la correzione, usando i link sopra, e poi ricostruire il sito con la versione più recente del sistema (attualmente Drupal 7.59 e 8.5.2) e dei moduli esterni. Infatti l'aggiornamento del 25 aprile segnala una vulnerabilità simile a quella del sistema base anche nel diffusissimo modulo Media. E' quindi opportuno aggiornare anche tutti i moduli aggiuntivi.

Una volta ricostruito il sistema in un ambiente di lavoro, importa i contenuti dal vecchio sito. Solo così puoi essere certo di avere un database “pulito”.

Per quanto riguarda il file system:

  • Ricostruendo il sito, sei sicuro che le cartelle di Drupal e dei moduli sono "pulite".
  • Le cartelle dei file temporanei si possono svuotare: potrai avere qualche malfunzionamento temporaneo, causato dalla “sorpresa” di privare il sistema dei suoi file di appoggio. Ma la natura di questi dati è proprio quella di essere abbandonati e ricreati.
  • Le cartelle dei file utente vanno esaminate, per eliminare ogni eventuale file aggiunto dall'attaccante. I principali indiziati sono i file eseguibili (con estensioni .exe, .bat...), gli script (estensione .php, .asp, .sh...). Inoltre, esamina tutti i file con data di creazione o ultima modifica successiva al 28 marzo. Verifica che siano stati caricati da utenti legittimi, ad esempio dalle persone che normalmente aggiornano il sito.


Approfondimenti


Fonte

Drupal Security Team

Newsletter

Ti segnaliamo i principali avvisi di sicurezza per Magento e Drupal non appena vengono rilasciati!

Lasciaci la tua email per ricevere le nostre ultime novità e aggiornamenti!

Go to top