¿Qué es y cómo me puede afectar Drupalgeddon 2.0?

Jose Luis Gomez
¿Qué es Drupalggedon 2.0?

Por todo el mundo es conocido que las ventajas y las facilidades que ofrecen los gestores de contenido son muchas, y precisamente esto ha facilitado su proliferación, dando como resultado que un gran porcentaje de todos los sitios web de Internet usan un CMS Open Source. Lo que quizá no sea tan conocido es que, dada su extensión, también son el blanco constante de ataques y búsquedas de nuevas vulnerabilidades.

Una de las más recientes vulnerabilidades en CMSs, surgida hace apenas unos días, es la conocida como Drupalgeddon 2.0. Resulta de interés, ya no por la gravedad de su alance, que bien podría ser el motivo de este post, si no por la guerra que ha provocado entre quienes pretenden explotar esta vulnerabilidad al mismo tiempo.

Se conoce como Drupalgeddon 2.0 a una vulnerabilidad catalogada como “altamente crítica” (highly critical) que afecta a todas las versiones de las ramas 6, 7 y 8 del gestor de contenidos Drupal y permite la ejecución de código remoto en el servidor que lo aloja. Ya en 2014 se dio el primer Drupalgeddon, de ahí el 2.0. Es especialmente grave porque afecta a todas las versiones actuales de Drupal y su publicación se hizo antes del parche que lo corrigiera, algo que normalmente no suele ocurrir. De hecho, inicialmente se publicó un parche que ha resultado no ser suficiente y ha tenido que volver a ser parcheado. En palabras del propio grupo de seguridad de Drupal, el alcance es de más de un millón de sitios web vulnerables, y supone el 9% del total de páginas web conocidas que usan un CMS.
 

¿Qué ocurre cuando un sitio web creado con Drupal es infectado?

 
Cryptohacking

Normalmente, con este tipo de problemas de seguridad, lo que pretende quien lo explota es el robo de identidades (normalmente, correo y contraseña) de sus usuarios, “colocar” información del tipo que sea en la propia web (enlaces a otras webs, publicidad, archivos infectados, contenido de tipo reivindicativo, etc.), la encriptación de datos por los que luego se pide un rescate o la simple destrucción de información sin más motivo que el de hacer daño.

En el caso del Drupalggedon 2.0, la gran mayoría de atacantes lo que pretende es que el administrador del sitio vulnerable no sea consciente de lo que está ocurriendo y aprovechar los recursos hardware del servidor. ¿Qué puede ser lo más rentable en que se puede emplear los recursos hardware de un millón de sitios vulnerables? En efecto, el minado de criptomonedas.

Los ataques cada vez están más organizados y mejor resueltos, hasta el punto de encontrar varios grupos criminales que, de manera automatizada, infectan servidores a través de estas instalaciones de Drupal sin parchear y llegan a “desinfectar” el resto de ataques que haya podido sufrir el sitio de otros grupos por el simple hecho de tener todos los recursos disponibles a su alance.
 

Víctimas de una guerra entre clanes de ciberdelincuentes

 
La mayor barrera para el beneficio del minado de criptomonedas son los gastos en recursos hardware y en consumo eléctrico. Aun así es una tarea que a gran escala resulta muy beneficiosa, pero si eliminamos de la ecuación esos costes, el beneficio tiende a infinito. Por eso los atacantes emplean todos sus recursos en dos tareas primordiales: ocultar la infección a los administradores del sitio y, especialmente, no permitir que existan infecciones de grupos criminales rivales que estén explotando el mismo hardware, para lo cual, se matan procesos que contienen patrones conocidos por pertenecer a ciertas bandas de hackers, se bloquean conexiones salientes a destinos identificados y hasta se falsean resoluciones de nombres para robarse entre sí infecciones. Todo un alarde de ingenio al servicio de la ciberdelincuencia.

Es especialmente curioso cómo las prácticas de estos grupos se empiezan a parecer cada día más a las del crimen organizado “tradicional”, que llega a desembocar en auténticas guerras de clanes por el control de cierta zona, que es exactamente lo que estamos viviendo en estos momentos: una guerra entre clanes rivales a nivel cibernético. Lo que podría sonar como el argumento de una película futurista es la realidad para más de un millón de sitios web en este mismo momento bajo un único fallo de seguridad.
 

¿En qué podemos ayudarte?

 

Sobre este Autor

Ing. Telemática | CEO B2CODE | CTO Hialucic |

Enviar una respuesta

Aviso de Privacidad.
Los datos facilitados en este formulario, quedarán registrados en un fichero titularidad de SARENET S.A.U., responsable del Fichero cuyos datos se detallan en el Aviso Legal, con la finalidad que los usuarios interesados contacten con los asesores y estos den respuesta a sus dudas e inquietudes en relación a los servicios ofrecidos. Podrás ejercer tus derechos de acceso, rectificación, supresión o limitación de la información personal, así como el de oposición a su tratamiento, mediante comunicación al e-mail: protecciondedatos@sarenet.es. Para más información sobre como tratamos tus datos, visita nuestra Política de privacidad.

No hay comentarios