Une nouvelle faille Drupal à corriger d’urgence

Drupal propose des correctifs pour une vulnérabilité hautement critique affectant les versions 7.x, 8.4.x et 8.5.x du système de gestion de contenus (CMS). Référencée CVE-2018-7602, elle permet de forcer l’exécution à distance de code arbitraire sur les serveurs vulnérables.

Mais comme le relève Jake Williams, de Rendition Infosec, un exploit fonctionnel existe déjà pour cette vulnérabilité. D’ailleurs, les équipes de Drupal indiquent que son exploitation a déjà commencé.

Cette nouvelle vulnérabilité est distincte d’une autre dévoilée fin mars et baptisée drupalgeddon 2 etdont l’exploitation réussie conduite aux mêmes conséquences. Mais les correctifs pour CVE-2018-7602 ne fonctionnent que si ceux relatifs à la vulnérabilité antérieure ont été appliqués ! C’est d’ailleurs pour cela que le Cert-FR recommande l’application successive et de toute urgence des correctifs relatifs aux deux.

Oh snap - stuff just got real. There's a working exploit for the new #drupalgeddon2 (CVE-2018-7602). This is going to be a long weekend.https://t.co/dtxJFNFtGh pic.twitter.com/40BqDJkuz7

— Jake Williams (@MalwareJake) April 26, 2018

L’urgence apparaît d’autant plus grande que des cas de compromission par exploitation de Drupalgeddon 2 commencent à émerger. Et c’est en particulier le cas du site Web du ministère ukrainien de l’Energie. Deux pirates s’y seraient attaqués successivement, un premier pour en altérer l’apparence, et un second pour y installer un rançongiciel. Fort heureusement, la compromission ne semble pas être aller au-delà du seul site Web. Mais ce n’est pas toujours le cas.

En juin 2016, RiskIQ soulignait le risque associé à des CMS qui, du fait la configuration de leur hôte, sont parfois bien plus qu’une vitrine et peuvent constituer une porte d’entrée, négligée, sur le système d’information. Des vulnérabilités, en plus de défauts de configuration, dans le CMS de Mossack Fonseca pourraient avoir été à l’origine pourraient avoir été à l’origine du piratage ayant conduit au scandale des Panama Papers.

En France, Shodan connaît 8065 sites Web animés par Drupal, dont certains indiquent expressément en utiliser une version 7 ou 8. Plusieurs pourraient clairement constituer des points d’eau – ou watering hole– intéressants pour conduire des attaques ciblées. Dès lors, il n’y a plus qu’à souhaiter qu’ils aient déjà été promptement mis à jour.