Drupal alerta de una vulnerabilidad crítica que será solucionada el 28 de marzo

Drupal es uno de los gestores de contenidos (CMS) más utilizados actualmente, solamente por detrás de WordPress y su implementación en cientos de miles de webs hace que cualquier noticia relacionada con su seguridad sea importante. Recientemente hemos sabido de la existencia de un fallo considerado como extremadamente crítico y que va a ser solucionado en una actualización la próxima semana por lo que se aconseja aplicarla cuando esté disponible.

Arreglando la vulnerabilidad

Los desarrollares de Drupal informaron el pasado miércoles de la existencia de este fallo en el core de las versiones 7 y 8 y confirmaron que están preparando una actualización que lo solucionará el próximo miércoles 28 de marzo entre las 18:00 y las 19:30 UTC (19:00-20:30 horario español). Las versiones concretas que recibirán esta actualización de seguridad son la 7.x, 8.3.x, 8.4.x y la 8.5.x.

El equipo de seguridad de Drupal aconseja aplicar los parches lo antes posible ya que los posibles exploits podrían desarrollarse en poco tiempo una vez se conozcan los detalles esta vulnerabilidad. Esta recomendación no es baladí puesto que ya hemos visto numerosos ejemplos en los que los delincuentes añaden los exploits a sus arsenales en cuestión de horas y los sitios web gestionados con Drupal son muy atractivos como posibles objetivos, especialmente aquellos orientados al comercio electrónico.

Es importante destacar la publicación de esta actualización también para las versiones 9.3.x y 8.4.x, puesto que estas se encuentran sin soporte desde hace tiempo. No obstante, y debido a la gravedad de esta vulnerabilidad, los desarrolladores han decidido incluir estas versiones dentro de la actualización de seguridad. Eso no quita que se recomiende encarecidamente a los usuarios que aun utilicen estas versiones que actualicen lo antes posible a la versión 8.5.0.

La importancia de aplicar estas actualizaciones

Ya sea con Drupal, WordPress o cualquier otro CMS como, por ejemplo, Joomla resulta vital estar pendiente de los continuos parches y actualizaciones no solo del propio gestor de contenidos, si no también de todos aquellos complementos que tengamos instalados. La popularidad de estos CMS radica principalmente en su versatilidad y facilidad de instalación y uso pero esto también implica que son uno de los principales objetivos de los ciberdelincuentes.

Llevamos tiempo observando como miles de páginas webs son comprometidas a diario y muchas de ellas son gestionadas utilizando algún CMS conocido. Para los delincuentes son un objetivo muy rentable puesto que si no se mantiene una política de seguridad ay actualizaciones adecuada son muy fáciles de vulnerar y la mayoría de usuarios no sospechará que un sitio web legítimo vaya a estar infectado.

Numerosas amenazas entre las que incluimos el ransomware, el minado no autorizado de criptmonedas o varios kits de exploit han venido aprovechándose de sitios webs muy poco protegidos y sin actualizar desde hace tiempo y eso es algo que nos debe preocupar si estamos encargados de gestionar una web con alguno de estos CMS.

La posibilidad de aplicar actualizaciones de forma automática (aunque nunca está de más revisarlas previamente de forma manual), incorporar medidas de seguridad adicional como el doble factor de actualización o bloquear intentos de conexión sospechosos a nuestra web son solo algunos de los aspectos básicos de seguridad a tener en cuenta para evitar que este caiga en manos de delincuentes que lo usen en su propio beneficio y pongan en riesgo a los visitantes del sitio.

Conclusión

Tal y como han recomendado los desarrolladores de Drupal, es muy recomendable aplicar la actualización tan pronto como esté disponible para evitar que nos afecten los exploits que surgirán tan pronto como se revelen los detalles de esta vulnerabilidad. Mantener una política de actualizaciones al día y una revisión constante de los complementos instalados resulta vital si no queremos ver como nuestra web es comprometida.

Josep Albors

¿Está Facebook recopilando información sin permiso de nuestras llamadas y SMS?