Drupal e l’importanza del security update di Ottobre

Il security team di Drupal ha richiamato l'attenzione sull'update rilasciato a metà Ottobre suggerendone l'immediata applicazione

Il security team di Drupal, CMS molto apprezzato ed utilizzato in Rete, ha rilasciato nella giornata del 29/10 un importante messaggio relativo alla patch di sicurezza resa disponibile a metà Ottobre: tutti i siti che non hanno applicato immediatamente l’aggiornamento dovrebbero essere considerati come “compromessi”, si legge infatti nel comunicato ufficiale che “gli attacchi hanno iniziato a colpire i siti Drupal 7 nelle ore immediatamente successive all’annuncio [della vulnerabilità] SA-CORE-2014-005 – Drupal core – SQL injection.[…] [Gli hacker] potrebbero aver già copiato tutti i dati presenti sul vostro sito [e] potrebbe non esserci alcun segno dell’avvenuto attacco“.

Drupal patch di sicurezzaL’urgenza e l’importanza del post pubblicato dal security team emerge proprio  dalle ultime righe citate: per via della rapidità con la quale la SQL injection è stata utilizzata dai malintenzionati e la relativa facilità con la quale l’exploit poteva essere sfruttato (la vulnerabilità bypassa infatti qualsiasi procedura di autenticazione), è probabile che un alto numero di siti possa essere stato colpito.

La vulnerabilità, che ricordiamo interessare tutte le versioni di Drupal precedenti alla 7.32, consente non solo di copiare tutti i file presenti sul portale ma anche di installare diverse backdoor nel database, nel codice e nelle directory file del sito rendendo molto ardua la loro individuazione da parte degli amministratori. L‘exploit, mediante le backdoor, consente di compromette anche altri servizi aumentando esponenzialmente “il raggio d’azione” dei malintenzionati.

I consigli del team di sicurezza Drupal

Il team di sicurezza Drupal consiglia agli user di tutti i siti “potenzialmente compromessi” di mandare offline il portale, cancellare tutti i file e i database, ripristinare il tutto utilizzando backup realizzati precedentemente al 15 Ottobre ed applicare, prima di tornare effettivamente online, la patch di sicurezza. 

Per avere infine la certezza che lo stesso server non sia stato compromesso, il team consiglia di cambiare quest’ultimo prima di ripristinare il sito – nel caso non fosse possibile adoperare un backup, meglio ripartire da zero per non correre ulteriori rischi, le backdoor sono infatti difficili da individurare e potrebbero benissimo “passare inosservate”.

L‘exploit potrebbe rivelarsi molto pericoloso per le grandi aziende che adoperano Drupal nel proprio business perchè , come riportato da Daniel Cid (chief technology officer presso l’azienda per la sicurezza informatica Sicuri), le procedure di update richiedono il rispetto di determinati protocolli e procedure che non consentono di intervenire tempestivamente come invece avviene per “classici” user privati o piccole/medie imprese.