Todas las páginas web gestionadas por Drupal que no
tengan instaladas las últimas actualizaciones publicadas en 15 de octubre de
2014 están expuestas a una serie de ataques de inyección SQL.
Se ha demostrado
que los piratas informáticos están lanzando ataques automáticos contra todo
tipo de páginas web basadas en Drupal 7 que no tengan instalados los últimos
parches de seguridad y sean vulnerables a este ataque SQL.
Prácticamente a la vez que la vulnerabilidad se hizo
pública con el lanzamiento del parche, los piratas informáticos comenzaron a
buscar y atacar páginas web vulnerables por este fallo. Los piratas
informáticos que atacan estas páginas lo hacen sin la necesidad de autenticarse
en el servidor y sin dejar rastro, lo que ha catalogado a la vulnerabilidad y
al parche correspondiente como “muy críticos” con una puntuación máxima de 25
sobre 25 puntos.
Un pirata informático podría robar cualquier tipo de
información de una web vulnerable (datos de usuarios, bases de datos e incluso
cualquier tipo de archivos) y sería capaz de instalar malware, una puerta
trasera o un sistema de control remoto en el servidor para tener acceso a él al
100%.
El parche publicado por Drupal soluciona la
vulnerabilidad e impide futuros ataques pero, si una web ya ha sido
comprometida, el parche no evitará que dicha web siga en manos de los piratas
informáticos, por lo que habría que llevar a cabo una serie de acciones
manuales para solucionarlo:
1) Desconectar la web de la red.
2) También se deben revisar el resto de
aplicaciones web por si se ha instalado una backdoor en una de ellas que pueda
seguir comprometiendo nuestro servidor.
3) Si podemos permitirlo, es
recomendable formatear por completo el sistema e incluso cambiar de servidor
manteniendo la copia de seguridad de la web y de las bases de datos para un
futuro análisis.
4) Restaurar una copia de seguridad en
el nuevo servidor de nuestra página web y del resto de servicios realizada
antes del 15 de octubre.
5) Actualizar Drupal con todos los
parches de seguridad disponibles.
6) Volver a poner en línea nuestra
página web.
7) Volver a añadir manualmente todos
los cambios introducidos desde la fecha en que se ha visto comprometida la web,
auditando el código para asegurarnos de que nada de lo que añadamos está
comprometido.
8) Comprobar que la nueva web está
segura y no hay indicios de un posible ataque oculto que haya podido quedar en
el servidor mediante una puerta trasera (por eso lo de cambiar el servidor
completo).
En algunos casos los piratas informáticos han
modificado la web para que parezca que está actualizada y no es vulnerable. Si
no se ha actualizado la versión de Drupal manualmente es posible que nuestra
web esté siendo víctima de un pirata informático y todo nuestro servidor esté
comprometido.
Fuente: The Hacker News