Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità Drupal 7

CMS  Drupal   venerdì, 31 ottobre 2014

Il noto Sistema di Gestione dei Contenuti (CMS, Content Management System) Drupal, utilizzato da centinaia di migliaia di siti web nel mondo, tra cui alcuni molto popolari, ha pubblicato un annuncio per gli amministratori di siti web che lo utilizzano.

Secondo la società una serie di “attacchi automatizzati” hanno iniziato a colpire i siti web che eseguono Drupal versione 7 riuscendo a rivelare in poco tempo una vulnerabilità critica (CVE-2014-3704, del 15 ottobre 2014) che consente una SQL injection.

Gli attacchi automatizzati hanno iniziato a compromettere siti web che utilizzano versioni di Drupal 7 non patchate precedenti alla versione 7.32 poche ore dopo l’annuncio di Drupal. Ogni sito web Drupal 7 non aggiornato o patchato prima del 15 ottobre 23:00 UTC (qualche ora dopo l’annuncio) potrebbe essere stato compromesso.

Se un sito utilizza una versione vulnerabile di Drupal e viene attaccato, possono essere rubate informazioni dal sito o aperte delle backdoor che consentono l’accesso remoto al sistema. Quindi se si procede ora all’aggiornamento del sistema con la versione 7.32, in cui la vulnerabilità è stata risolta, potrebbe essere tardi se qualcuno è riuscito già ad aprire tale backdoor.

L’aggiornamento alla versione 7.32 o l’applicazione della patch risolve la vulnerabilità, ma non sana un sito già compromesso. Pertanto se si rileva che il proprio sito è già patchato, ma l’aggiornamento non era stato fatto, può essere un sintomo che il sito è stato compromesso: alcuni attaccanti infatti, dopo aver aperto la backdoor, applicano la patch, non solo per tenere fuori gli hacker rivali, ma anche per rendere complicato il rilevamento di eventuali compromissioni da parte dei tecnici.

Naturalmente, determinare se vi è una backdoor sul proprio sito non è facile, ma è comunque importante che i siti vulnerabili vengano aggiornati all’ultima versione di Drupal nel più breve tempo possibile, anche se questo non offre alcuna garanzia che il sito non sia già compromesso, nè, in questo caso, ne risolverebbe la compromissione stessa.

Il consiglio di Drupal non sarà facile da seguire per tutti, ma pare sia l’unico modo per essere sicuri che il sito non sia compromesso: in poche parole, se il sito non è stato protetto nel giro di un paio d’ore dall’annuncio della vulnerabilità, è necessario ripristinarlo da un vecchio backup o ricostruirlo da zero, eventualmente consultando il proprio fornitore di hosting.

Notizie correlate

Aggiornamento di sicurezza critico per Drupal 8

18 luglio 2019

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica nel codice "core" del noto CMS Drupal versione 8.7.4.Leggi tutto

Aggiornamenti di sicurezza critici per Magento

2 luglio 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 75 vulnerabilità, di cui 9 critiche e altre 10 di gravità elevata.Leggi tutto

Risolte diverse vulnerabilità in Joomla! 3.9.7

13 giugno 2019

Il Joomla! Project ha rilasciato la versione 3.9.7 del suo CMS che risolve tre vulnerabilità di bassa gravità nel codice "core" dell'applicazione.Leggi tutto