drupalseguridad

Nuestros servidores fueron atacados por culpa de Drupal

7 may. 2018|Lectura de 3 minutos

Los hackers aprovecharon una vulnerabilidad de Drupal para minar bitcoins. Si usas Drupal actualiza ya mismo.

Las útlimas semanas han sido muy activas para los desarrolladores Drupal, especificamente para los que tengan sitios en producción bajo su supervisión o mantenimiento. Y es que la última semana de marzo, el 21 de marzo especificamente, se anunció que se había encontrado una grave vulnerabilidad en Drupal el cuál permitia a los atacantes explotar múltiples vectores de ataque en los sitios Drupal.

En este caso el problema no terminó cuando se solucionó esta vulnerabilidad ya que un par de semanas despues se había detectado que había otro problema similar que no fue detectado a tiempo, pero, muchos atacantes si lo habían notado, entonces, habían atacado muchos servidores que alojan sitios Drupal.

Los ataques más comunes son:

  1. Minado oculto de bitcoins
  2. Inyección de código y/o archivos maliciosos
  3. Redirección de tus sitios a sitios sospechosos, etc.

Algunos de los que trabajamos en Drupal por varios años tenemos muchos sitios alojados en diferentes servidores así que nos tuvimos que dar la tarea de actuar rápidamente antes que el ataque sea ejecutado.

Por si te estás preguntando por el sitio de EDteam, está a salvo, nuestra web ha sido atacada pero sin éxito al día de hoy. La defensa también ha actuado rápido.

¿Qué tan peligroso es este problema?

El equipo de seguridad de Drupal tiene un Risk Score con el que categoriza los problemas de seguridad y el problema que había sido reportado era Altamente Crítico, lo cual significa qué:

  • ¿Cuán difícil es para un atacante aprovechar esta vulnerabilidad? R.- Nada, no es nada dificil
  • ¿Qué nivel de acceso se requiere para porder ejecutar el exploit con éxito? R.- Ninguno
  • ¿La vulnerabilidad causa que la información publica pueda ser exhibida? R.- Si, toda la información es accesible

Sólo con esos 3 puntos ya te habrás dado cuenta de lo crítico de la situación.

¿Qué debo hacer con mis sitios Drupal en estos casos?

El protocolo que sigue el equipo de seguridad de Drupal es el siguiente (En resumen):

  1. Reciben el reporte de la vulnerabilidad encontrada
  2. Comunican al equipo de seguridad sobre los problemas y comienzan a trabajar en la solución
  3. Comunican a todo el mundo que se ha encontrado una vulnerabilidad, pero no dicen cuál es exactamente, y avisan de una fecha aproximada en la que estará dispnible la actualizacion o parche de seguridad.
  4. Se publica la actualización de seguridad y por ende la vulnerabilidad es pública y de conocimiento de todos.

Por ende, una vez que el punto 4 ha sucedido, lo primero que debes hacer es actualizar tu sitio o aplicar el parche de seguridad publicado.

Para este caso especifico te dejo los 2 avisos de actualización que salieron cuando se solucionaron estas 2 vulnerabilidades.

Estas vulnerabilidades están siendo tan explotadas qué, según un aviso que sacó un miembro del equipo de seguridad, se afirma que Si no has actualizado o parchado tus sitios Drupal, considera que ya has sido atacado

Recuerda: Frecuentemente, por lo menos una vez al mes, se libera una actualización de seguridad para Drupal, si no actualizas tus sitios y eres atacado no puedes culpar a Drupal de tus problemas posteriores

Mi servidor ya ha sido atacado ¿Qué debo hacer?

No hay una sola respuesta para esto debido a que no existe un único tipo de ataque. Te dejo el artículo original en inglés donde se da una guía acerca de lo que puedes hacer si tu sitio ya ha sido atacado.

Your Drupal site got hacked. Now what?

Para despedirme quiero concluir con el siguiente texto: No importa si tienes el mejor martillo si no eres un buen carpintero Las herramientas, lenguajes, frameworks o librerías pueden ser muy buenos, pero de nada sirve si no eres capaz de utilizarlas bien y/o aplicar buenas prácticas de desarrollo.

Hasta otra oportunidad. Un abrazo