Todos os posts tagados drupal

Nova ferramenta DoS em JavaScript

flashflood

O VP da White Labs [da WhiteHat Security], Robert ‘RSnake’ Hansen, publicou um protótipo de uma ferramenta que poderá lançar ataques DoS e deixar os websites offlineFlashFlood.

Segundo fonte oficial, esta ferramenta funciona ao enviar enviar diversos pedidos HTTP com valores de parâmetros diferentes em todos os pedidos, com o objetivo de ultrapassar os servidores de caching, como por exemplo, o Varnish.
Claro que esta ferramenta não é propriamente anónima. Facilmente é possível identificar o endereço de IP de quem está a efetuar o flooding. Desta forma, Hansen informa que é necessário enganar outros utilizadores a clicarem no FlashFlood sem terem noção dessa operação. Uma possível combinação do FlashFlood em ataques XSS? Quem sabe…

Por si só, este script não é suficiente para colocar offline a maioria dos sites mas foi planeado para intensificar um ataque que já esteja a decorrer.
Segundo o autor, sites com grandes base de dados e sites Drupal são alvos perfeitos desta ferramenta, principalmente se dependerem de caching para se protegerem.

SQL Injection no Drupal 7

drupal

Ontem a empresa SektionEins publicou um boletim de segurança que divulga uma falha SQL Injection no Drupal (versões >= 7.0 <= 7.31). Rapidamente a equipa de segurança do Drupal categorizou esta vulnerabilidade como Altamente Crítica e preparou-se prontamente para lançar uma correção – já disponível na versão 7.32.

Leia-se no site oficial do Drupal:

Posted by Drupal Security Team on October 15, 2014 at 4:02pm
Advisory ID: DRUPAL-SA-CORE-2014-005
Version: 7.x
Date: 2014-Oct-15
Security risk: 20/25 ( Highly Critical) AC:Basic/A:None/CI:All/II:All/E:Theoretical/TD:All
Vulnerability: SQL Injection

Resumidamente, a empresa SektionEins conseguiu ultrapassar a proteção do Drupal nas consultas SQL:

SELECT * FROM {users} WHERE name IN (:name_0, :name_1)

Manipulado o parametro para:

SELECT * FROM {users} WHERE name IN (:name_test) OR name = ‘Admin’ — , :name_test)

Claro que esta manipulação não fica pelas consultas (leia-se SELECT) mas também é aplicado às inserções e atualizações (INSERT e UPDATE).

Devido à facilidade de utilizar este exploit e aos requisitos (é remoto e não é necessário autenticação), rapidamente começaram a surgir exploits e ferramentas para explorar versões vulneráveis do Drupal. No Pastebin é já possível encontrar exploits que basta inserir o URL com a versão vulnerável do Drupal e explora adicionando um novo administrador.
Deve ser apenas uma questão de tempo para que os exploit kits dos utilizadores maliciosos serem atualizados com esta falha SQL Injection. Assim, duma forma totalmente automática, diversos sites podem ser comprometidos em curto espaço de tempo.

Concluíndo, é URGENTE a atualização do Drupal.