Ir al contenido

Millones de webs Drupal en peligro por no actualizarse

Debes asumir que tu página realizada con Drupal 7 está comprometida si no la actualizaste durante las primeras siete horas después de que se hiciera público la actualización 7.32 el 15 de octubre de 2014.

Este es el alarmante aviso de los propios gestores de Drupal quienes lo han catalogado con “Highly Critical”:

Ataques automáticos que comprometen webs realizadas con Drupal 7 que no fueron actualizadas a la versión 7.32 comenzaron a las pocas horas de publicarse el parche. Si no se actualizó la web antes del 15 de octubre a las 23h UTC, es decir a las 7 horas de la publicación del parche, se debe proceder como si todas las webs estuvieran comprometidas.

Drupal es uno de los sistemas de gestión de contenidos (CMS) más populares del mundo, lo que significa que hay en peligro decenas de millones de webs.

Curiosamente el parche solucionaba un problema en el propio sistema de protección contra SQL injection.

Los CMS se encargan de almacenar el contenido de tu sitio web en una serie de bases de datos, desde donde pueden ser editados, testados, revisados, copiados y por supuesto publicados online.

Por lo tanto, si son comprometidos, pueden servir para cualquier fin que el ciberdelincuente quiera incluyendo cambiar contenidos, borrar información, copiar los datos o incluso distribuir malware.

Según las estadísticas de W3Techs entre un 1.9% y un 5.1% de todas las webs usan Drupal, y un 65% de estas usan Drupal 7 (las estadísticas del propio Drupal suben la cifra a un 84%).

Dado el gran número de objetivos (se calcula que se han visto afectadas al menos 12 millones de webs), se cree que este efectivo y sencillo exploit se ha realizado de forma automatizada. Parece que se ha establecido una carrera contra el reloj ya que los primeros ataque se detectaron solo 7 horas después de que se publicara el parche.

El anuncio de hoy, advierte que parchear en estos momentos, habiendo transcurrido tanto tiempo, no es suficiente, ya que posiblemente esté comprometido. Por lo tanto deberíamos actuar como si lo estuviera y tomar las medidas oportunas.

Pero no es sencillo parchear una maquina tan rápido. Muchos usuarios no han recibido el aviso, y otros puede que estuvieran durmiendo por la diferencia horaria. La mejor solución es que Drupal implemente un sistema de actualización automática para la instalación de los parches de seguridad.

Hay un montón de buenas razones por las que no se deben actualizar módulos automáticamente, pero la realidad nos muestra que sin ellos millones de páginas recibirán los parches demasiado de tarde o simplemente nunca los conseguirán.

WordPress, el CMS más usado en el mundo, se arriesgó lanzando actualizaciones automáticas hace más de un año. Posiblemente le ha llegado el turno a Drupal.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

1 comentario

Es paradójico que en un año en el que la ciberseguridad está siendo tan protagonista (prácticamente todas las semanas tenemos dos o tres conferencias de primer nivel) se hayan producido tantas brechas de seguridad masivas como esta.

Los comentarios están cerrados.