Alerte à la vulnérabilité Drupal : correctif disponible

0
158

Suite à des attaques à double extension massives visant les sites Drupal, l’éditeur du CMF open source conseille vivement aux administrateurs de site d’appliquer le correctif dès que possible, et de vérifier les téléchargements récents, pour s’assurer que des fichiers à double extension contenant des malwares ne se sont pas glissés sur le FTP.

Attention, alerte à la vulnérabilité critique pour Drupal, dont l’équipe a publié cette semaine des mises à jour de sécurité pour corriger une vulnérabilité critique facilement exploitable, qui peut donner à des attaquants un contrôle total sur les sites vulnérables.

Rappelons que Drupal est actuellement en quatrième position de la liste des CMS les plus utilisés au monde sur Internet après WordPress, Shopify et Joomla. La vulnérabilité en question (CVE-2020-13671) est qualifiée de “critique”.

Quid de l’attaque via double extension ? Cela est connu depuis bien des années, et pourtant, ça refait surface encore une fois ! Techniquement, il suffirait à un attaquant d’ajouter une deuxième extension à un fichier malveillant, de le télécharger sur un site Drupal par le biais de champs de téléchargement ouverts, et de faire exécuter le malware. Par exemple, un attaquant pourrait renommer un malware “malware.php” en “malware.php.txt“. Une fois chargé sur un site Drupal, le fichier sera alors reconnu comme un fichier texte, et non un fichier PHP. Pourtant, quand Drupal essayera de lire le fichier texte, il finira par exécuter le code PHP malveillant qu’il contient, ce qui entrainera le piratage du site.

L’explication technique à ce mauvais comportement a été spécifié dans une note de sécurité. Les développeurs de Drupal indiquent que la vulnérabilité est du au fait que Drupal ne nettoie pas systématiquement tous les fichiers. Situation pouvant donc conduire à une mauvaise considération d’extension de fichier ayant un mauvais type MIME, et à l’exécution de ce dernier selon les paramètre de l’hébergement Web.

Des mises à jour de sécurité ont été publiées pour les versions 7, 8 et 9 de Drupal afin de corriger les procédures de sécurisation des téléchargements de fichiers au sein du CMS. Bien entendu, il se peut que les sites aient déjà été victime d’attaque, il est donc impératif que tous les webmasters vérifient les derniers fichiers uploadés sur le FTP, et en particulier les extensions les plus à risque :

  • phar
  • php
  • pl
  • py
  • cgi
  • asp
  • js
  • html
  • htm
  • phtml

 

Sources : ZDNet, Drupal