Cinco horas después de que el equipo de Drupal publicara una actualización de seguridad para el CMS de Drupal los hackers han encontrado una forma de militarizar la vulnerabilidad parchada y la estan explotando activamente
Esta vulnerabilidad no se debe confundir con Drupalgeddon 2 (CVE-2018-7600), otro problema de seguridad de Drupal CMS parchado el mes pasado, que también está muy explotado. Este problema -que se reveló como CVE-2018-7602 se parchó el 26 de abril.
A diferencia del caso Drupalgeddon 2, donde los hackers comenzaron a explotarlo después de dos semanas, esta vez, comenzaron a explotar CVE-2018-7602 de inmediato. El equipo de seguridad de Drupal informó haber detectado ataques cinco horas después de liberar un parche.
El equipo de Drupal sospecha que CVE-2018-7602 causaría problemas
El equipo de Drupal sabía que esta falla podría tener graves repercusiones y emitió un PSA el lunes 23 de abril sobre el próximo parche de hoy.
El PSA estaba destinado a advertir a los propietarios del sitio web con anticipación porque el equipo de Drupal consideró que existía "algún riesgo de que los exploits se desarrollaran en cuestión de horas o días".
Lo que el equipo de Drupal temía sucedió al final, y los hackers comenzaron a explotar CVE-2018-7602 en cuestión de horas, incluso antes de que muchos propietarios de sitios web tuvieran la oportunidad de parchear sus sitios.
CVE-2018-7602 es descendiente de Drupalgeddon2
El error que están explotando es un error de ejecución remota de código (RCE) que afecta tanto a las versiones Drupal 7.xy 8.x. La vulnerabilidad tiene una calificación de 20 de 25 en la propia escala de gravedad de Drupal, lo que significa que puede otorgar a los atacantes el control total de un sitio atacado.
Los desarrolladores de Drupal dijeron que descubrieron CVE-2018-7602 mientras investigaban la vulnerabilidad anterior de Drupalgeddon 2, y que están conectados.
Ambos defectos están relacionados con la forma en que Drupal maneja el carácter "#" utilizado en sus URL, y la falta de desinfección de entrada aplicada a los parámetros proporcionados a través del carácter "#".
El equipo de Drupal lanzó Drupal v7.59, v8.4.8 y v8.5.3 para parchar CVE-2018-7602.
Siete horas después del parche, y dos horas después de que se reportaron los primeros ataques en el medio silvestre, un usuario llamado Blaklis también publicó un código armado de prueba de concepto para CVE-2018-7602 en Pastebin.
La publicación de este código facilitará aún más que los atacantes pongan en peligro los sitios de Drupal. Podemos esperar ataques similares a los intentos de explotación Drupalgeddon 2 - puertas traseras, coinminers , ransomware basado en la web , redirecciones apoyo de estafa tecnología , y un montón de desfiguraciones feas.
Fecha actualización el 2021-04-26. Fecha publicación el 2018-04-26. Categoría: hackers. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer