Hackers explotan el nuevo defecto de Drupal en cuestion de horas

Cinco horas después de que el equipo de Drupal publicara una actualización de seguridad para el CMS de Drupal los hackers han encontrado una forma de militarizar la vulnerabilidad parchada y la estan explotando activamente

Esta vulnerabilidad no se debe confundir con Drupalgeddon 2 (CVE-2018-7600), otro problema de seguridad de Drupal CMS parchado el mes pasado, que también está muy explotado. Este problema -que se reveló como CVE-2018-7602 se parchó el 26 de abril.

A diferencia del caso Drupalgeddon 2, donde los hackers comenzaron a explotarlo después de dos semanas, esta vez, comenzaron a explotar CVE-2018-7602 de inmediato. El equipo de seguridad de Drupal informó haber detectado ataques cinco horas después de liberar un parche.

El equipo de Drupal sospecha que CVE-2018-7602 causaría problemas

El equipo de Drupal sabía que esta falla podría tener graves repercusiones y emitió un PSA el lunes 23 de abril sobre el próximo parche de hoy.

El PSA estaba destinado a advertir a los propietarios del sitio web con anticipación porque el equipo de Drupal consideró que existía "algún riesgo de que los exploits se desarrollaran en cuestión de horas o días".

Lo que el equipo de Drupal temía sucedió al final, y los hackers comenzaron a explotar CVE-2018-7602 en cuestión de horas, incluso antes de que muchos propietarios de sitios web tuvieran la oportunidad de parchear sus sitios.

CVE-2018-7602 es descendiente de Drupalgeddon2

El error que están explotando es un error de ejecución remota de código (RCE) que afecta tanto a las versiones Drupal 7.xy 8.x. La vulnerabilidad tiene una calificación de 20 de 25 en la propia escala de gravedad de Drupal, lo que significa que puede otorgar a los atacantes el control total de un sitio atacado.

Los desarrolladores de Drupal dijeron que descubrieron CVE-2018-7602 mientras investigaban la vulnerabilidad anterior de Drupalgeddon 2, y que están conectados.

Ambos defectos están relacionados con la forma en que Drupal maneja el carácter "#" utilizado en sus URL, y la falta de desinfección de entrada aplicada a los parámetros proporcionados a través del carácter "#".

El equipo de Drupal lanzó Drupal v7.59, v8.4.8 y v8.5.3 para parchar CVE-2018-7602.

Siete horas después del parche, y dos horas después de que se reportaron los primeros ataques en el medio silvestre, un usuario llamado Blaklis también publicó un código armado de prueba de concepto para CVE-2018-7602 en Pastebin.

La publicación de este código facilitará aún más que los atacantes pongan en peligro los sitios de Drupal. Podemos esperar ataques similares a los intentos de explotación Drupalgeddon 2 - puertas traseras, coinminers , ransomware basado en la web , redirecciones apoyo de estafa tecnología , y un montón de desfiguraciones feas.

Semrush sigue a tu competencia


Fecha actualización el 2018-04-26. Fecha publicación el 2018-04-26. Categoría: hackers. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
hackers