sábado, noviembre 01, 2014

"Apocalipse" en Drupal 7: Hackeados por un Bug de SQL Injection en función de seguridad contra SQL Injection

Los titulares en los medidos de comunicación hablan de Apocalipse en Drupal 7 debido al bug de SQL Injection que se publicó el 15 de Octubre y que está siendo explotado de manera masiva y automatizada. El bug fue descubierto por Stefan Horst de Sektioneins y ha recibido el CVE-2014-3704. Dicho exploit a día de hoy ya es público y permite a cualquier atacante hacer un ataque de SQL Injection en el servidor sin necesidad de estar autenticado en la plataforma a través de unas funciones que en teoría son de seguridad para evitar ataques de SQL Injection.

Figura 1: Si no tienes la versión 7.32 probablemente estés hackeado

Desde ese momento, se habla de que probablemente, si tienes un Drupal 7 y no lo has actualizado a la versión 7.32 existe un alto grado de certeza de que esté comprometido. Lo que le hayan podido hacer a tu sitio depende. Pueden haberlo utilizado para distribuir malware, para meter paneles de control en ataques de phishing o simplemente para hacer BlackSEO, que siguen creciendo día a día el número de sitios infectados. Revisa en detalle tu sitio, y si no ves nada busca bien otra vez si no tienes el Drupal 7 actualizado.

Figura 2: El bug de SQL Injection está en el prepare stament que usa Drupal 7 para evitar SQL Injection

El equipo de Drupal publicó el Security Advisory  donde además deja recomendaciones de qué debes hacer si el sitio ha sido comprometido por un ataque. En él se dejan algunas reflexiones prácticas que debes tener en cuenta sobre cómo proceder para hacer un análisis forense del sitio, decisiones que debes tomar y medidas legales a ejecutar en cada caso.

Figura 3: Security Advisory de Drupal alertando de que es Highly Critical

Yo te recomiendo que actualices todo el software y reinstales una copia de seguridad anterior al 15 de Octubre, para evitar cualquier problema. Si el sitio ha sido comprometido pueden haber dejado backdoors a nivel de sistema operativo, a nivel de base de datos, a nivel de servidor web o a nivel de aplicación web. Por supuesto, si se han llevado los usuarios y las contraseñas debes cambiarlas todas sin excepción. 

Mi recomendación es que fortifiques el sistema pensando ya en el futuro y que establezcas una política de copia de seguridad que evite que pierdas muchos datos en un caso similar a posteriori. Recuerda que si quieres también puedes poner Latch en Drupal 7 para evitar que cualquier password sea utiliza sin consentimiento del usuario en un ataque futuro.

Saludos Malignos!

1 comentario:

  1. Algún scanner o script que permita comprobar si mi website está comprometido? Lo más que he encontrado es que la versión de pago de acunetix lo tiene y este script:

    http://www.securitysift.com/drupal-7-sqli/

    ResponderEliminar