Descubren 115.000 servidores con Drupal 7 vulnerables ante Drupalgeddon2

Cuando se destapó la vulnerabilidad llamada Drupalgeddon2, los mantenedores de Drupal fueron muy contundentes a la hora de informar sobre su peligrosidad y lo importante que era aplicar el parche, que fue publicado hasta para versiones sin mantenimiento como las 8.3 y 8.4.

Sin embargo, pese a los esfuerzos de los encargados de Drupal para evitar que la vulnerabilidad se convirtiera en un problema para sus usuarios, muchos administradores y mantenedores de sitios web no aplicaron el parche cuando tocaba, permitiendo que los atacantes pudiesen explotar activamente Drupalgeddon2. Esta falta de diligencia puede terminar teniendo consecuencias catastróficas, y lo que es peor, parece que el panorama no mejora.

En Bad Packets Report han examinado unos 500.000 sitios web que funcionan con Drupal 7, que fue parcheado contra la vulnerabilidad a partir de la versión 7.58. Los datos obtenidos por el investigador no son muy alentadores, ya que han descubierto 115.070 sitios web vulnerables ante Drupalgeddon2, 134.447 que no eran vulnerables y 225.056 de los que no se ha podido determinar la versión exacta del CMS utilizada.

Muchos de los sitio web vulnerables se encuentran entre el millón más visitado según el ranking Alexa, abarcando instituciones educacionales de Estados Unidos y otras organizaciones públicas alrededor del mundo. También están afectados una gran red de televisión, un conglomerado multinacional de medios de comunicación y entretenimiento y dos conocidos fabricantes de hardware para computadoras. Siendo más concretos, nos encontramos instituciones como la Policía de Bélgica, la Oficina del Fiscal General de Orlando y Magneti Marelli, la subsidiaria de Fiat.

A todo lo dicho hasta ahora hay que sumar la detección de una nueva campaña mediante el dominio upgraderservices[.]cf dedicada a esparcir mineros maliciosos mediante la explotación de Drupalgeddon2. Lo que hace es inyectar la biblioteca Coinhive en el sitio web vulnerable, que luego es cargada en los ordenadores de los visitantes.

Además de los mineros maliciosos, Drupalgeddon2 también permite la introducción de puertas traseras y otros tipos de malware, así que aquellos que todavía no han aplicado el parche tendrían que ponerse cuantos antes manos a la obra para corregir la vulnerabilidad.