Importante Vulnerabilidad en Drupal que no se Debe Ignorar

Categorias: General

Importante Vulnerabilidad en Drupal que no se Debe Ignorar

Ayer, 25 de abril de 2018, Drupal hacía un anuncio en su web indicando que se ha descubierto una vulnerabilidad en el propio core de Drupal, clasificada como Muy Crítica y que afecta a las versiones 7 y 8 del popular gestor de contenidos.

No parece que sea una advertencia que se pueda ignorar si se está usando Drupal como CMS, ya que en la propia web de Drupal ya han comprobado que se está utilizando esta vulnerabilidad por parte de atacantes.

El agujero de seguridad permite a los atacantes ejecutar código de manera remota, por lo que podrán hacerse con el control del sitio web sin muchos problemas, inyectar malware, añadir scripts para minar criptomonedas, enlaces spam, etc…

Se espera un ataque masivo a cualquier instalación de Drupal en las próximas horas/días, sin importar mucho si el sitio tiene muchos visitantes, o el tipo de web que se haya creado, por lo que desde Drupal, recomiendan encarecidamente seguir las instrucciones de seguridad que han puesto a disposición de todos los usuarios a través de su página web.

Aplicar las Soluciones lo Antes Posible

Al mismo tiempo que Drupal anunció el problema de seguridad, incluyo la solución en forma de parches de seguridad o actualización del sistema.

Dada la importancia de la amenaza encontrada, Drupal también ha lanzado una actualización para la versión 8.4.x, versión fuera de soporte, que se puede encontrar aquí: Drupal 8.4.8

Toda la información sobre está disponible en la web de Drupal en este enlace (en inglés).
 

Drupal – Problemas de Seguridad desde Marzo

Drupal - Problemas de Seguridad desde Marzo

En la web de Drupal en la que informan de esta amenaza, indican que está relacionada con la detectada el pasado 28 de marzo de 2018 de la que se hicieron eco en esta página.

En esta ocasión, Drupal marcó la vulnerabilidad como Altamente Crítica y puso a disposición de los usuarios dos actualizaciones de seguridad que, según parece, no fueron todo lo efectivos que suponían.

Algo preocupante en el anuncio de esta última vulnerabilidad, es la indicación de que, si no se parcheó el sistema en el anuncio de 28 de marzo, posiblemente el sitio ya esté comprometido.

Han detectado ataques masivos a instalaciones de Drupal desde el pasado 11 de abril de 2018, haciendo uso de la vulnerabilidad encontrada en marzo, es posible que antes pero no de forma automatizada.

El problema radica que, si no se actualizó el sistema antes del 11 de abril, no es posible saber si el sitio ya está comprometido.

La actualización del sistema no garantiza la eliminación de las puertas traseras que los atacantes hayan podido crear.

Tampoco es posible detectar si el sitio se ha comprometido o no, por este motivo indican que, si no se realizó la actualización de marzo, es altamente probable que se tenga una brecha de seguridad indetectable en la instalación de Drupal.
 

Qué Hacer si Drupal no se Actualizó en su Momento

Qué Hacer si Drupal no se Actualizó en su Momento

Puesto que no hay forma de saber si el sitio gestionado con Drupal ya está comprometido, en el supuesto de que que no estuviera actualizado, Drupal no ofrece muchas opciones para solucionar el problema.

Si un atacante aprovechó la vulnerabilidad para añadir puertas traseras en la instalación, es muy difícil localizarlas, no es lo mismo que si se añade un código malicioso, que se detecta rápido, así que la única opción viable es restaurar una copia de seguridad.

Si no se dispone de una copia de seguridad, la opción que ofrece Drupal es reconstruir desde cero la web.
 

Hostinet y la Seguridad en Drupal

En Hostinet existe un sistema que examina todos los servidores en busca de cualquier tipo de código malicioso que se pueda haberse inyectado.

Esto quiere decir, que si un atacante aprovecha los agujeros de seguridad de Drupal para inyectar un virus en la web, nuestro sistema lo detectará, bloqueará, aislará y avisará al cliente para que pueda revisar y recuperar la web.

Lo que no podemos detectar es una puerta trasera que se haya podido crear, pero mientras el atacante no haga un uso malicioso de ella, no es posible saber que existe, al menos eso mismo ha indicado Drupal.

No obstante, cualquier instalación de Drupal instalada en cualquier de las opciones de hosting web que se ofrecen en Hostinet, son monitorizadas en busca de cualquier indicio de malware, por lo que en caso de infección, el daño sería menor ya que el sitio quedaría bloqueado.

Si se necesita un buen hosting SSD para instalar Drupal, cualquiera de las opciones que aquí mostramos contaría con este plus de seguridad que se ofrece en Hostinet:

  • Hosting SSD 1desde3´21€ / mes
  • Hosting SSD 2desde3´79€ / mes
  • Hosting SSD 4desde5´59€ / mes
  • Hosting SSD 1desde3´21€/mes
  • Hosting SSD 2desde3´79€/mes
  • Hosting SSD 4desde5´59€/mes
    • Almacenamiento en disco dura ultra rapido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Tras evaluación de nuestro equipo de migraciones y nuevas altas de Hosting
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Todo lo que necesitas para sacar partido a tu Host
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opcion de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Opción de contratación de certificados SSL Wildcard. Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUI
    • Opción de contratación de certificados SSL Extended Validation (EV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUI
    • Opción de contratación de certificados SSL Organization Validation (OV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUI
    • Con nuestra herramienta WebFácil construye tu página web en solo 5 pasos.
    • Con la herramienta de instalación Softaculous tan solo deberás elegir la aplicación deseada y con tan solo un par de clicks y de forma totalmente automatizada tendrás tus herramientas favoritas instaladas en tu Host.
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting y Dominios
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Precios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contrataciones
    • Precios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contrataciones
    • Precios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contrataciones

Síguenos en nuestras redes sociales: Facebook y Twitter @hostinet

 [ninja-popup ID=13602] >>> HAZ CLICK AQUÍ PARA SUSCRIBIRTE GRATIS A NUESTRA NEWSLETTER!!! <<<  [/ninja-popup]


VN:F [1.9.22_1171]
Rating: 0.0/5 (Votos: 0)

¿NECESITAS AYUDA? Llama a nuestro soporte técnico 946 545 762

De Lunes a Viernes de 08:00 a 20:00 horas.


Contactar