Gravissima Criticità su Piattaforme Drupal

Proto: N060219.

Con la presente Yoroi desidera informarLa relativamente ad una pericolosa vulnerabilità recentemente scoperta all’interno del popolare Content Management System Drupal, una tra le tre soluzioni CMS più utilizzate in tutto il mondo per la realizzazione di decine di migliaia di portali web. La criticità è nota con l’identificativo CVE-2019-6340.

A causa di lacune nella de-serializzazione di parametri utente all’interno del modulo API RESTful, utilizzato per la realizzazione di integrazioni, applicazioni moderne ed abilitato di default in varie versioni del CMS stesso, un attaccante remoto in grado di interagirvi con richieste di tipo GET, PATCH oppure POST può eseguire codice arbitrario sul sistema vittima, compromettendolo senza alcuna autenticazione richiesta.

Il Produttore ha recentemente innalzato il livello di rischio associato alla problematica per via del rilascio di dettagli tecnici e strumenti atti a replicare la criticità; circostanza che rende probabile lo sfruttamento di questa vulnerabilità da parte di botnet ed attaccanti di vario genere, alla stregua di quanto registrato nei casi Drupalgeddon e Drupalgeddon2.

All’interno del bollettino di sicurezza SA-CORE-2019-003 sono stati inoltre rilasciati gli aggiornamenti di sicurezza volti a risolvere la problematica per le versioni Drupal:

  • 8.6.x, con l’aggiornamento a versione 8.6.10
  • 8.5.x, con l’aggiornamento a versione  8.5.11

Non hanno invece ricevuto aggiornamenti le versioni Drupal 7 e Drupal 8 inferiori a 8.5 in quanto terminato il periodo di supporto, tuttavia, al fine di mitigarne possibilità di compromissione, Yoroi consiglia di aggiornare gli eventuali moduli di terze parti che utilizzano API RESTful Drupal, di filtrare richieste REST GET/PUT/PATH/POST qualora non utilizzate e di valutare il rimpiazzo dei portali Drupal obsoleti.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index