Quelques jours après que l'équipe derrière Drupal ait exhorté les administrateurs du site Web à appliquer un correctif de mise à jour d'une vulnérabilité très critique dans la plateforme de gestion de contenu (CMS), on a pu observer les responsables de cette attaque en train d’exploiter la faille dans la nature.

La vulnérabilité d'exécution de code à distance (RCE) dans le noyau Drupal a reçu une note de risque de sécurité de 23/25 de la part de l'organisation derrière la plate-forme. La faille, tracée comme CVE-2019-6340, provient du fait que « certains types de champs ne désinfectent pas correctement les données provenant de sources non formelles », ce qui peut permettre aux attaquants d'exécuter du code PHP arbitraire sur des sites vulnérables, lit l'alerte sécurité Drupal.

En conséquence, l'équipe a exhorté les utilisateurs de Drupal 8.6.x à mettre à jour vers la version 8.6.10 et ceux qui ont des sites utilisant 8.5.x à mettre à jour vers 8.5.11. Les anciennes versions de Drupal 8 ne recevront pas de mise à jour, alors qu'aucune mise à jour du noyau n'est nécessaire pour Drupal 7. Cela dit, les sites exécutant Drupal 7 peuvent encore être vulnérables en raison du bogue affectant plusieurs modules contribués, donc les administrateurs ont été invités à vérifier les correctifs pour ces modules.

Drupal a donné un aperçu du correctif le 19 février, c'est-à-dire la veille de la sortie de la mise à jour elle-même. Le correctif s'accompagne de mesures d'atténuation proposées pour les installations Drupal où le correctif ne peut pas être appliqué immédiatement, y compris une recommandation de désactiver tous les modules des services Web.

Le lendemain, un exploit de preuve de concept (PoC) a été publié en ligne et, comme on pouvait s'y attendre, les attaques n'ont pas tardé à arriver. Lundi, Imperva indiquait qu'elle seule avait détecté des douzaines de tentatives pour exploiter le défaut et déposer diverses charges utiles. Il s'agit notamment d'un mineur de cryptomonnaie basé sur JavaScript appelé CoinIMP qui, une fois injecté dans un site vulnérable, détournerait les machines des visiteurs pour extraire de la monnaie virtuelle telle que Monero. De plus, il y a eu aussi des tentatives d'exploiter l'exploit pour planter un shell permettant aux attaquants de téléverser des fichiers arbitraires sur des sites Drupal non corrigés.

Les attaques sont venues de diverses régions du monde et visaient diverses cibles, y compris certaines du gouvernement et de l'industrie des services financiers. En outre, Imperva a fait remarquer que les mesures d'atténuation proposées ne font pas obstacle à l'exploitation.

Il n'est pas clair combien de sites pourraient être vulnérables aux attaques contre la troisième plateforme CMS la plus utilisée après WordPress et Joomla.