Falla critica in Drupal, migliaia di siti ancora vulnerabili

È iniziato il ''Drupalgeddon''.



[ZEUS News - www.zeusnews.it - 23-04-2018]

drupalgeddon

C'è stato un tempo, agli albori di Internet, in cui i siti erano costruiti con del semplice codice Html, il quale forniva l'aspetto ai contenuti ma non permetteva di creare pagine particolarmente complicate.

Poi è arrivata l'era dei siti dinamici, con i linguaggi di scripting realizzati appositamente a questo scopo (come per esempio Php e i linguaggi per Asp) e, mentre le funzionalità e l'estetica miglioravano, le complicazioni crescevano.

Oggigiorno un sito è quasi sempre un'applicazione: un'applicazione web, che manipola dati (preesistenti o inseriti dall'utente) e in base a essi costruisce la pagine che poi vengono visualizzate.

Tutto ciò è molto bello, comodo e flessibile ma presenta anche dei rischi: come ogni applicazione, anche i siti possono avere delle falle di sicurezza che vengono via via scoperte e necessitano di essere corrette.

Il caso di Drupal è emblematico. Si tratta di uno dei più popolari Cms (sistemi di gestione dei contenuti) scritti in Php, usato da oltre 1 milione di siti, attualmente disponibile in due versioni supportate: la più vecchia 7, e la più recente 8.

Durante lo scorso mese di marzo si è scoperto che tutte le installazioni di Drupal, comprese quelle che utilizzano tuttora la non più supportata versione 6, contengono una falla importante: le conseguenze del suo sfruttamento sono tanto gravi (è possibile usarla per prendere il controllo del server su cui gira il sito) che si è subito parlato di "Drupalgeddon" (da Drupal + Armageddon) e tutti gli amministratori dei siti realizzati con Drupal sono stati invitati ad aggiornare al più presto.

Dalle versioni 7.58 e 8.5.1 Drupal non è più vulnerabile. Non solo: sebbene la versione 6 non sia più supportata dal febbraio 2016, il progetto Dupal 6 Long Term Support ha preparato una patch.

Sondaggio
Qual è il prodotto più obsoleto tra questi?
Il lettore DVD da salotto: sta per fare la fine del videoregistratore VHS.
L'iPod: ormai la musica si ascolta con lo smartphone.
Il Blackberry: ha pochissime app, ormai ha fatto il suo tempo.
Angry Birds: ormai la moda è passata.
Un telefonino che non sia smartphone: esistono ancora?
L'auricolare Bluetooth: è bruttissimo a vedersi.
Lo smartwatch, per lo meno quelli di prima generazione: brutti e limitati.
Il Nintendo Wii: non può competere con l'Xbox One e la PS4.

Mostra i risultati (2310 voti)
Leggi i commenti (8)

In teoria, quindi, non ci dovrebbero essere problemi. Il guaio è che il numero di siti ai quali le patch ancora non sono state applicate è fin troppo elevato.

Una campagna di hacking è in corso proprio in queste ore: «Ogni sito Drupal nella nostra rete è costantemente oggetto di scansione da parte di diversi indirizzi Ip» spiega Daniel Cid, Cto di Sucuri. «A questo punto, tutti i siti a cui non sia stata applicata la patch è già stato violato».

Il guaio è che violare un sito senza la patch non è difficile: basta raggiungere l'indirizzo di un sito vulnerabile e iniettare del codice pubblicamente disponibile.

Dal punto di vista degli utenti, si tratta di uno scenario pericoloso soprattutto per i loro dati: da un sito violato si possono rubare i dati degli iscritti, ma è anche possibile usare le risorse di detti siti per condurre attacchi mirati verso altri indirizzi.

È proprio in questo modo che sta venendo condotta la campagna di attacchi che sta colpendo i siti con Drupal, e lo stesso sistema viene adoperato per cercare di prendere il controllo dei server ed aggiungerli alle botnet.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quanto impieghi per andare al lavoro? (one-way, ovvero: sola andata)
Da 1 a 15 minuti
Da 15 a 30 minuti
Da 30 a 45 minuti
Da 45 a 60 minuti
Più di 60 minuti

Mostra i risultati (2360 voti)
Giugno 2025
Il DNS europeo che promette di tutelare i dati personali
Guarda film pirata? Rischi fino a 5.000 euro di multa
Il Q-day è vicino
OneDrive: app e siti possono accedere a tutto il cloud
Windows 11, ennesimo aggiornamento che blocca l'avvio del PC
Maggio 2025
Il cripto-ladro è nella stampante e ruba un milione di dollari
Amazon, la IA ha trasformato la programmazione in una catena di montaggio
Lidar nelle auto: utile per la guida, letale per le fotocamere
Azienda IA in tribunale per il suicidio di un adolescente
Non è proprio legale... ma le sanzioni sono irrisorie
Pirateria, multati in Italia anche gli utenti finali
Bancomat da attivare e complessità digitale
Un ''diritto a riparare'' piccolo, virtuoso e originale
Siti per adulti, la verifica dell'età non avverrà tramite SPID
Gli hard disk in ceramica praticamente indistruttibili di Western Digital
Tutti gli Arretrati
Accadde oggi - 10 giugno


web metrics