Posted by francort on October 17, 2014 at 7:49pm
Hoy se ha producido un hackeo masivo a sitios con Drupal 7 al menos.
Les recomiendo revisar todos los sitios de los que sean responsables. Busquen usuarios creados en el segundo 0 de timestamp de unix. Borren los usuarios y roles que se hayan creado y actualicen rápido al último parche de seguridad. (7.32)
Es probable y en algunos casos se han reportado inyecciones de ítems de menú (aunque no es de lo más frecuente).
saludos a todos y suerte.
Comments
Muchas gracias
Gracias por el aviso!
(*)Unix es mi copiloto
#drupalsa05
Gracias Pancho, pero chicos estas noticias ya tiene 2 días!
Es muy recomendable a seguir https://www.drupal.org/security por suscribirse al mailing list "Security announcements" y actuar del notificaciones al tiro.
SA005 es muy critico, como dice "Security risk: 20/25 (Highly Critical)".
Leer mas, super interesante y bien alarmante:
https://www.acquia.com/blog/shields
https://www.getpantheon.com/blog/what-we-are-seeing-drupal-sa-2014-005
.
La noticia es de 2 días atrás, pero en este caso particular a diferencia de otros anuncios de seguridad, sí he visto robots eficientes en hacer la explotación de la falla de seguridad. No sólo atacando a empresas importantes como Pantheon, sino también a sitios súper X. Por eso quería avisar que el "lo dejamos pa' la otra semana" podría tener consecuencias...digamos que era para poner en perspectiva que no es sólo importante sino que es urgente.
Hay que leer y evaluar cada "Security advisory"
Si, 005 is mas grave y todo de nosotros estamos viendo intentos de explotarlo, no solo "los Pantheons" del mundo.
Yo no conozco a nadie que tiene una repuesta de seguridad de "lo dejamos pa' la otra semana" .... y si tienes esa actitud ... suerte con eso, tu negocio no va durar :)
Pero mi punto principal es que hay que leer y evaluar cada "Security advisory" por todo el "LAMP stack" o cualquier tech que usas. Cuando algo dice "Critical" hay que accionarlo al tiro.
Cierto que la noticia tiene
Cierto que la noticia tiene dos días. Lo que encuentro fuerte es que el problema se generó el año 2011. Lo dice Stefan Horst, el mismo que hizo el aviso en Drupal (https://www.sektioneins.de/en/blog/14-10-15-drupal-sql-injection-vulnera...)
El problema tiene mas de 3 años y es probable que haya sido utilizado sin que nadie lo notara, lo que me sorprende pues me habían contado que los queries injection estaban detenidos en Drupal.
Ya sacaron el post
@javier Me aparece un 404 en el link que posteaste.
Seguro que algún chistoso lo utilizó, pero no creo que haya sido utilizado de forma masiva o ya habrían noticias de eso.
Estoy de acuerdo contigo en que el tratamiento que se le dio a esto (en general) fue inadecuado y creo que va a impactar negativamente en la imagen de Drupal. (digamos, decenas o cientos de miles de sitios hechos en Drupal usados para phishing y cosas del estilo a partir de ... pronto)
Ojalá sirva como razón para incluír Doctrine -o algo del estilo- en el núcleo en el corto o mediano plazo.
El "security team" es la mejor cosa de Drupal
Claro que hay un problema que este issue era reportado en el "public issue queue" hace un buen rato, pero mas que eso hay que recordar que este bug ha estado en Drupal para 5 años y, en cuanto a lo que sabemos, no ha sido explotada.
Ademas ya hay issues para mejorar la sistema y procedimiento aqui en d.o como https://www.drupal.org/node/2358243 y https://www.drupal.org/node/2358373
Con respeto Pancho yo no podría estar más en desacuerdo contigo que este "impactaria negativamente en la imagen de Drupal". Creo que estará el contrario, el tratamiento de este bug muestra el profesionalismo y alta standard del seguridad en Drupa. No hay otro equivalente en el mundo de "open source" del "security team" de Drupal que monitorizar, responder y coordinar seguridad por core y todo contrib.
De acuerdo con la calidad de Security Team
Estoy de acuerdo con la función del Equipo de Seguridad, de la calidad del trabajo que hacen y su profesionalismo. No era el espíritu de mi comentario quejarme del trabajo del Equipo de Seguridad en cuanto al privilegiado nivel de seguridad en el que han mantenido a Drupal en todos estos años. Tampoco estaba comparando con otro proyecto Open Source.
Mi idea iba más bien en la siguiente direcciones:
Lo primero es que no está claro qué acciones van a hacer los usuarios insertados fraudulentamente sobre los sitios "infectados". Tampoco cuál será el porcentaje de sitios que están y serán "infectados". En una mirada rápida a sitios chilenos, la mayor parte no han sido parchados.
Creo que dependiendo de las 2 cosas anteriores, la imagen de Drupal podría sufrir una baja (al menos en Chile) y los vendedores de software cerrado van a tener su Navidad con el argumento de Seguridad por Oscuridad. La magia de la Licencia y la superioridad de la Seguridad por Oscuridad son siempre sus argumentos estrella y ahora se les podría dar un ejemplo para poner cada vez que se toque el tema.
Lo segundo se escapa al "scope" local del grupo y además es una opinión personal. Creo que para una actualización de seguridad de magnitud anormal, fue inadecuado usar protocolos normales de aviso.
Digamos que los usuarios de d.o. son más de un millón 120 mil y los canales que aunciaron con anticipación la actualización y su magnitud, no van a llegar ni a la mitad de esas personas(calculo un 5%) y con algunas restricciones burocráticas, podrías tardar más de 24 horas en tener acceso al servidor de producción para hacer un update.
Veo no sólo sitios de miembros de esta comunidad sin actualizar aún ahora(a pesar de los avisos y de este post) sino también a otros usuarios súper comprometidos con Drupal cuyos sitios están sin el parche. Algo pasa que el "mensaje" no llegó para muchos.