Les sites sans le correctif pour Drupal 7 sont compromis

D’après une déclaration du service d’assistance technique de Drupal, les propriétaires de sites qui n’ont pas appliqué le correctif pour la vulnérabilité critique détectée récemment dans ce système de gestion du contenu doivent considérés leur site comme étant compromis.

Cette vulnérabilité, divulguée le 15 octobre permet de réaliser des injections SQL ; l’ironie du sort avait voulu qu’elle soit détectée dans le module Drupal développé pour renforcer la protection contre les attaques par injections SQL. Les individus malintentionnés ont commencé à exploiter cette faille presque directement après la publication, et ce de manière automatisée. Le problème est aggravé par le fait que, dans ce cas, n’importe quel utilisateur non autorisé peut compromettre le site et qu’il est pratiquement impossible de détecter une telle attaque.

On peut lire dans la publication du groupe chargé de la sécurité de Drupal : « Les attaques automatisées dans le but de compromettre les sites qui utilisent Drupal 7 et dont les propriétaires n’avaient pas eu le temps d’installer le correctif ou de réaliser la mise à jour vers Drupal 7.32 ont débuté dans les heures qui ont suivi la publication du bulletin SA-CORE-2014-005 – Drupal core – SQL injection. Il faut donc en déduire que tous les sites qui utilisent Drupal 7 sont compromis si leurs propriétaires n’ont pas installé le correctif ou la mise à jour avant le 15 octobre, 23h00 TU, soit dans les sept heures après la publication. »

L’exploitation de cette vulnérabilité s’opère à l’aide d’outils automatisés ; dans certains cas, une porte dérobée est ouverte dans le système compromis et un correctif est installé pour éviter les attaques de concurrents. « Si vous découvrez un correctif que nous n’aviez pas installé, il se peut que votre site soit compromis : ce correctif a été installé lors d’une attaque et garantit un contrôle unique du site pour l’individu malintentionné » explique l’équipe de Drupal.

La publication indique également qu' »il est possible que les attaquants ont créé des points d’accès (appelés parfois « portes dérobées ») dans la base de donnés, le code, le répertoire de fichiers ou dans d’autres endroits. Ils peuvent ainsi compromettre d’autres services ou élargir l’accès. L’élimination de ces portes dérobées n’est pas aisée car il est parfois impossible de confirmer que toutes ont été identifiées. »

Si le propriétaire du site n’a pas eu le temps d’installer le correctif directement après la publication de la vulnérabilité, les experts en protection de Drupal suggèrent de lancer la procédure de réparation depuis une sauvegarde sûre. L’avis indique : « Le groupe de sécurité de Drupal recommande de consulter l’hébergeur. S’il n’a pas appliqué le correctif de Drupal, ni adopté aucune autre mesure pour éviter les injections SQL au cours des heures qui on suivi l’annonce (le 15 octobre à 16h00 UTC), restaurez votre site à l’aide d’une copie de sauvegarde d’une date antérieure ».

Quelle: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *