Drupal : plus d’une centaine de milliers de sites Web en attente de compromission

Troy Mursch s’inquiète : selon lui, il reste encore au moins 115 000 sites Web animés par Drupal affectés par la vulnérabilité CVE-2018-7600. Critique, celle-ci permet de forcer l’exécution de code à distance. Elle concerne les versions 6, 7 et 8 du système de gestion de contenus (CMS) – la première étant obsolète. Dévoilée fin mars, cette vulnérabilité fait l’objet de correctifs, de même qu’une autre, tout aussi critique et connue depuis la fin avril. Pour autant, tous les administrateurs des instances concernées n’ont pas déployé ces correctifs, et loin s’en faut.

Une surprise ? Pas tant que cela. Début mai, nous avions contacté les responsables techniques d’une dizaine de sites Web français apparaissant animés par des versions obsolètes de Drupal, selon l’outil Sitecheck de Sucuri. Aucun n’a répondu à nos messages, mais certains ont toutefois procédé à l’installation des mises à jour requises, comme la SNCF, pour son site Web Collection 80 ans. Mais d’autres sites Web continuent malheureusement de se présenter comme exécutant une version vulnérable du CMS. Peut-être les indices repérés par Sucuri ne constituent-ils que des leurres, mais à l’instar de Troy Munsch, nous avons préféré ne pas publier la liste des sites toujours vulnérables que nous avons identifiés, et informer l’Agence nationale pour la sécurité des systèmes d’information (Anssi).

I've shared the list of 115,070 vulnerable Drupal sites with @USCERT_gov and @drupalsecurity. Due to the highly critical risk of CVE-2018-7600 being exploited, the list won't be shared publicly.

— Bad Packets Report (@bad_packets) June 5, 2018

Troy Mursh recense dans un tableur Google Docs des centaines de sites Web compromis dans le cadre de diverses campagnes. En France, cela vaut notamment pour ceux du Snesup et de l’Unmi, de la maison du travail saisonnier Narbonne-Béziers, des sections internationales de Sèvres, ou encore Droits-fondamentaux.org, et Alloleciel.fr. Et il faut également compter avec Afimin qui continue ainsi de servir à ses visiteurs un script malicieux, tout comme le site des pompes à chaleur Calis, ou encore celui de la ville de Loriol.

Certains sites ont reçu le nettoyage nécessaire, comme ceux de la CCI Occitanie, de la filiale du groupe Spie RDI, ou ceux de plusieurs filiales du groupe Briand, qui continuent de figurer de façon erronée dans la liste.

Mais parfois, l’application trop tardive des correctifs n’est pas sans conséquences négatives. Le site Web du club des ambassadeurs d’Alsace apparaît ainsi nettoyé, selon les outils de Sucuri, mais il n’en a pas moins été placé sur liste noire par des systèmes de protection. Quant au site Web du pôle touristique du Pays de Grasse, il n’est tout simplement pas accessible à l’heure où sont écrites ces lignes.