Atacantes están explotando activamente la grave vulnerabilidad hallada en Drupal

El mes pasado avisamos sobre una grave vulnerabilidad en Drupal que estaba siendo resuelta por la comunidad de desarrolladores del mismo CMS. De hecho, no se hicieron públicos los detalles para evitar dar cancha a hackers y cibecriminales hasta la publicación del parche, hecho que se produjo el 28 de marzo de 2018.

Los desarrolladores de Drupal dieron la voz de alarma en la fecha mencionada en el párrafo anterior, avisando a desarrollares y administradores que aplicaran el parche cuanto antes, incluso en versiones oficialmente sin mantenimiento del CMS. Sin embargo, parece que muchos han hecho oídos sordos y se están detectando campañas exitosas por parte de hackers que están buscando instalaciones de Drupal vulnerables.

Según informan en ArsTechnica, atacantes están explotando activamente la vulnerabilidad parcheada en Drupal, que ha recibido el nombre informal de Drupalgeddon2 y cuyo código es CVE- 2018-7600. Recordamos que abre la puerta a que un atacante pueda tomar el control completo del sitio web, incluyendo el servidor que lo está haciendo funcionar. Para ello, solo hay que acceder a la URL de un sitio web vulnerable e inyectarle el código del exploit, que está disponible de forma pública para quien quiera utilizarlo. La vulnerabilidad no requiere de ningún tipo de cuenta para ser explotada, siendo una ejecución de código en remoto cuyo origen está en otra vulnerabilidad de 2014 que también facilitaba el acceso a servidores vulnerables.

La vulnerabilidad está siendo explotada para múltiples propósitos, entre los que se puede mencionar la instalación de cargas maliciosas como mineros maliciosos y software para provocar denegaciones de servicio. Al parecer, las cargas maliciosas se están propagando a modo de gusano, por lo que los sitios web infectados se dedican a buscar otros que no lo están y sean vulnerables.

El grupo más activo que está explotando Drupalgeddon2 es Muhstik, que ha llevado campañas similares contra otras aplicaciones instaladas a nivel de servidor y en las cuales no se han aplicado los parches correspondientes cuando tocaba, entre los que se encuentran Webdav, WebLogic, Webuzo y WordPress. Además, está vinculado a Tsunami, un malware que entre 2011 y 2014 infectó a unos 10.000 servidores Unix y Linux y en 2016 fue utilizado contra el sitio web de Linux Mint. Muhstik habría adoptado algunas técnicas de infección más bien propias de las botnets de IoT, buscando aplicaciones de servidor vulnerables y servidores con contraseñas débiles para acceder a estos mediante SSH.

En MuySeguridad recordamos y recomendamos encarecidamente la aplicación de los parches de seguridad para evitar problemas, y en caso de no haberlo hecho ya para arreglar Drupalgeddon2, lo mejor es reaccionar cuanto antes para evitar disgustos.