Los desarrolladores de Drupal, uno de los más populares sistemas de administración de contenido (CMS), lanzaron un conjunto de actualizaciones de seguridad para corregir un error crítico y relativamente fácil de explotar que permitiría a los actores de amenazas obtener el control completo de un sitio vulnerable. Esta falla fue corregida en conjunto con especialistas en ciberseguridad.
La falla recibió un puntaje crítico, por lo que los administradores de instalaciones vulnerables deben actualizar a la brevedad. Según estudios recientes, Drupal es el cuarto CMS más empleado en Internet, sólo por detrás de WordPress, Joomla y Shopify.
La falla fue identificada como CVE-2020-13671 y los especialistas consideran que es verdaderamente fácil completar un ataque, ya que se basa en un antiguo hack conocido como “doble extensión”.
En este ataque los actores de amenazas agregan una segunda extensión de archivo a un archivo malicioso, lo que les permite cargar el archivo en un sitio de Drupal y ejecutar la carga útil. Para plantear un escenario posible, un archivo malicioso llamado malware.php podría cambiar su nombre a malware.php.txt. Cuando se carga en un sitio de Drupal, el archivo se clasificaría como un archivo de texto en lugar de un archivo PHP, pero Drupal terminaría ejecutando el código PHP malicioso al intentar leer el archivo de texto.
En condiciones normales el CMS detectará sin problema cualquier archivo con doble extensión. No obstante, la falla existe debido a que Drupal no depura algunos nombres de archivos, por lo que en algunos casos se dejan pasar estos archivos con doble extensión y el ataque es concretado.
En el reporte de ciberseguridad se menciona que las versiones 7, 8 y 9 del CMS fueron corregidas, aunque se invita a los administradores de sitios web a revisar las cargas de archivos más recientes para comprobar que no se han admitido archivos con extensión doble.
Los expertos recomiendan prestar atención a las siguientes extensiones de archivo:
- phar
- php
- pl
- py
- cgi
- asp
- js
- html
- htm
- phtml
Diversos miembros de la comunidad de la ciberseguridad se mostraron sorprendidos al saber que Drupal tuvo que corregir una falla así, puesto que el ataque de doble extensión es uno de los trucos más viejos en el mundo del hacking malicioso. A estas alturas, prácticamente todos los CMS han erradicado esta amenaza. Este ataque también ha llegado a representar una importante amenaza para los usuarios de Windows, donde los desarrolladores de malware buscan infectar sistemas vulnerables sin complicaciones.