Todos os posts tagados sektioneins

SQL Injection no Drupal 7

drupal

Ontem a empresa SektionEins publicou um boletim de segurança que divulga uma falha SQL Injection no Drupal (versões >= 7.0 <= 7.31). Rapidamente a equipa de segurança do Drupal categorizou esta vulnerabilidade como Altamente Crítica e preparou-se prontamente para lançar uma correção – já disponível na versão 7.32.

Leia-se no site oficial do Drupal:

Posted by Drupal Security Team on October 15, 2014 at 4:02pm
Advisory ID: DRUPAL-SA-CORE-2014-005
Version: 7.x
Date: 2014-Oct-15
Security risk: 20/25 ( Highly Critical) AC:Basic/A:None/CI:All/II:All/E:Theoretical/TD:All
Vulnerability: SQL Injection

Resumidamente, a empresa SektionEins conseguiu ultrapassar a proteção do Drupal nas consultas SQL:

SELECT * FROM {users} WHERE name IN (:name_0, :name_1)

Manipulado o parametro para:

SELECT * FROM {users} WHERE name IN (:name_test) OR name = ‘Admin’ — , :name_test)

Claro que esta manipulação não fica pelas consultas (leia-se SELECT) mas também é aplicado às inserções e atualizações (INSERT e UPDATE).

Devido à facilidade de utilizar este exploit e aos requisitos (é remoto e não é necessário autenticação), rapidamente começaram a surgir exploits e ferramentas para explorar versões vulneráveis do Drupal. No Pastebin é já possível encontrar exploits que basta inserir o URL com a versão vulnerável do Drupal e explora adicionando um novo administrador.
Deve ser apenas uma questão de tempo para que os exploit kits dos utilizadores maliciosos serem atualizados com esta falha SQL Injection. Assim, duma forma totalmente automática, diversos sites podem ser comprometidos em curto espaço de tempo.

Concluíndo, é URGENTE a atualização do Drupal.