Inicio / Protege tu empresa / Avisos Seguridad / Actualización crítica de seguridad en Drupal

Actualización crítica de seguridad en Drupal

Fecha de publicación: 
22/09/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones 8.x de Drupal.

Descripción: 

Drupal ha publicado una actualización de seguridad para las versiones 8.x. que soluciona varias vulnerabilidades del gestor de contenidos, dos de ellas críticas. Los gestores de contenidos instalados en servidores web «sirven» nuestras páginas a los usuarios que las solicitan a través de sus navegadores. Estas dos vulnerabilidades críticas podrían permitir que el atacante acceda a la configuración de administración y que ejecute código malicioso en el navegador de los usuario que visitan nuestra web.

Según un informe de Sucuri, en el segundo cuatrimestre de 2016, el 84% de los portales en Drupal estaban desactualizados.

Solución: 

La solución para estos problemas de seguridad es la instalación de la versión más reciente del Drupal, en este caso la versión 8.1.10. Insta a tu soporte tecnológico a que actualice el software del gestor de contenidos web.

Como medida preventiva se recomienda tener siempre actualizado todo el software a las últimas versiones.

Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, comprobar que se ha realizado correctamente y que podemos recuperarla.

Otra precaución que debemos tomar, es asegurarnos de tener a salvo una copia del fichero de configuración de Drupal (settings.php), que se encuentra en la ruta /sites/default/settings.php.

Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

Drupal: Configuración de actualizaciones automáticas

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o perfil de twitter @incibe y Facebook "protegetuempresa". Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Detalle: 

La actualización de seguridad soluciona dos vulnerabilidades críticas:

  • Un fallo del tipo «ejecución de comandos en sitios cruzados» o XSS (del inglés cross-site scripting): mediante la cual un atacante podría dirigir a nuestros usuarios a una página diseñada para ejecutar código malicioso en su navegador.

Esta vulnerabilidad se da en las páginas web que se generan dinámicamente, es decir, en función de los datos que reciben del usuario. Si estos datos no se validan adecuadamente, un atacante podría insertar en la web codigo malicioso y hacer que éste se ejecutara. Mediante este código el atacante puede cambiar la configuración del servidor, destruir el sitio web, secuestrar cuentas y sesiones de usuarios, escuchar comunicaciones (incluso cifradas), dirigir al usuario a sitios maliciosos, instalar publicidad en el sitio web y en general cualquier acción que desee de forma inadvertida para el administrador.

  • Un fallo que permite a los usuarios sin permisos de administrador descargar la configuración completa del portal: el acceso a la configuración debería estar limitado a aquellos usuarios con permisos de administrador.

Puedes consultar una solución más técnica en el área de alerta temprana del CERTSI.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist  para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en esto casos reales: