Falla critica in Drupal, migliaia di siti ancora vulnerabili

È iniziato il ''Drupalgeddon''.

[ZEUS News - www.zeusnews.it - 23-04-2018]

C'è stato un tempo, agli albori di Internet, in cui i siti erano costruiti con del semplice codice Html, il quale forniva l'aspetto ai contenuti ma non permetteva di creare pagine particolarmente complicate.

Poi è arrivata l'era dei siti dinamici, con i linguaggi di scripting realizzati appositamente a questo scopo (come per esempio Php e i linguaggi per Asp) e, mentre le funzionalità e l'estetica miglioravano, le complicazioni crescevano.

Oggigiorno un sito è quasi sempre un'applicazione: un'applicazione web, che manipola dati (preesistenti o inseriti dall'utente) e in base a essi costruisce la pagine che poi vengono visualizzate.

Tutto ciò è molto bello, comodo e flessibile ma presenta anche dei rischi: come ogni applicazione, anche i siti possono avere delle falle di sicurezza che vengono via via scoperte e necessitano di essere corrette.

Il caso di Drupal è emblematico. Si tratta di uno dei più popolari Cms (sistemi di gestione dei contenuti) scritti in Php, usato da oltre 1 milione di siti, attualmente disponibile in due versioni supportate: la più vecchia 7, e la più recente 8.

Durante lo scorso mese di marzo si è scoperto che tutte le installazioni di Drupal, comprese quelle che utilizzano tuttora la non più supportata versione 6, contengono una falla importante: le conseguenze del suo sfruttamento sono tanto gravi (è possibile usarla per prendere il controllo del server su cui gira il sito) che si è subito parlato di "Drupalgeddon" (da Drupal + Armageddon) e tutti gli amministratori dei siti realizzati con Drupal sono stati invitati ad aggiornare al più presto.

Dalle versioni 7.58 e 8.5.1 Drupal non è più vulnerabile. Non solo: sebbene la versione 6 non sia più supportata dal febbraio 2016, il progetto Dupal 6 Long Term Support ha preparato una patch.

Sondaggio

Qual è il prodotto più obsoleto tra questi?

	Il lettore DVD da salotto: sta per fare la fine del videoregistratore VHS.
	L'iPod: ormai la musica si ascolta con lo smartphone.
	Il Blackberry: ha pochissime app, ormai ha fatto il suo tempo.
	Angry Birds: ormai la moda è passata.
	Un telefonino che non sia smartphone: esistono ancora?
	L'auricolare Bluetooth: è bruttissimo a vedersi.
	Lo smartwatch, per lo meno quelli di prima generazione: brutti e limitati.
	Il Nintendo Wii: non può competere con l'Xbox One e la PS4.

Mostra i risultati (2320 voti)

Leggi i commenti (8)

In teoria, quindi, non ci dovrebbero essere problemi. Il guaio è che il numero di siti ai quali le patch ancora non sono state applicate è fin troppo elevato.

Una campagna di hacking è in corso proprio in queste ore: «Ogni sito Drupal nella nostra rete è costantemente oggetto di scansione da parte di diversi indirizzi Ip» spiega Daniel Cid, Cto di Sucuri. «A questo punto, tutti i siti a cui non sia stata applicata la patch è già stato violato».

Il guaio è che violare un sito senza la patch non è difficile: basta raggiungere l'indirizzo di un sito vulnerabile e iniettare del codice pubblicamente disponibile.

Dal punto di vista degli utenti, si tratta di uno scenario pericoloso soprattutto per i loro dati: da un sito violato si possono rubare i dati degli iscritti, ma è anche possibile usare le risorse di detti siti per condurre attacchi mirati verso altri indirizzi.

È proprio in questo modo che sta venendo condotta la campagna di attacchi che sta colpendo i siti con Drupal, e lo stesso sistema viene adoperato per cercare di prendere il controllo dei server ed aggiungerli alle botnet.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (0)

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(5 commenti) Da rivali a commensali: Bill Gates e Linus Torvalds si incontrano a cena per la prima volta	News(9 commenti) Danimarca, retromarcia parziale: lascerà Office ma terrà Windows. Linux troppo complesso

Sicurezza(7 commenti)

16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook, Google e Apple

News(11 commenti)

Autovelox, nuova sentenza: senza verifica periodica la multa è illegittima

News(16 commenti)

Proposta alla Camera: scontrini solo digitali; cartacei solo su richiesta

News(7 commenti)

Amazon stringe sui resi: la finestra scende da 30 a 14 giorni

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: