Siti Drupal vulnerabili agli attacchi doppia estensione

Il team dietro il sistema di gestione dei contenuti Drupal (CMS) ha rilasciato questa settimana gli aggiornamenti di sicurezza per correggere una vulnerabilità critica facile da sfruttare e in grado di garantire agli aggressori il pieno controllo sui siti vulnerabili.

Drupal, che è attualmente il quarto CMS più utilizzato su Internet dopo WordPress, Shopify e Joomla, ha assegnato alla vulnerabilità una valutazione “critica“, consigliando ai proprietari dei siti di applicare la patch il prima possibile.

Rintracciata come  CVE-2020-13671, la vulnerabilità è incredibilmente semplice da sfruttare e si basa sul buon vecchio trucco della “doppia estensione”.

Gli aggressori possono aggiungere una seconda estensione a un file dannoso, caricarlo su un sito Drupal tramite campi di upload pubblici e far eseguire il file dannoso.

Ad esempio, un file dannoso come malware.php potrebbe essere rinominato in malware.php.txt. Quando viene caricato su un sito Drupal, il file verrebbe classificato come file di testo anziché come file PHP, ma Drupal finirebbe per eseguire il codice PHP dannoso durante il tentativo di aprire il file di testo, qualora lanciato da browser.

GLI SVILUPPATORI DI DRUPAL ESORTANO GLI AMMINISTRATORI DI SITI A RIVEDERE GLI UPLOAD RECENTI

Normalmente, vengono rilevati file con due estensioni, ma in un avviso di sicurezza pubblicato mercoledì, gli sviluppatori di Drupal hanno affermato che la vulnerabilità risiede nel fatto che il CMS Drupal non disinfetta “determinati” nomi di file, consentendo ad alcuni file dannosi di passare.

Gli sviluppatori di Drupal dicono che questo “può portare al fatto che i file vengano interpretati come estensioni errate e serviti come tipo MIME sbagliato o eseguiti come PHP per alcune configurazioni di hosting“.

Sono stati rilasciati aggiornamenti di sicurezza per le versioni Drupal 7, 8 e 9 per correggere le procedure di sanificazione del caricamento dei file.

Ma il team di Drupal esorta anche gli amministratori del sito a rivedere i caricamenti recenti per i file con due estensioni; nel caso in cui il bug sia stato scoperto e sfruttato da aggressori prima della patch.

“Presta particolare attenzione alle seguenti estensioni di file, che dovrebbero essere considerate pericolose anche se seguite da una o più estensioni aggiuntive”:

  • phar
  • php
  • pl
  • py
  • cgi
  • asp
  • js
  • html
  • htm
  • phtml

“Questo elenco non è esaustivo, quindi valuta caso per caso i problemi di sicurezza per altre estensioni non modificate”, hanno affermato gli sviluppatori di Drupal.

È sorprendente che un tale bug sia stato scoperto in Drupal. Il trucco della doppia estensione è uno dei trucchi più vecchi del mondo ed è uno dei principali vettori di attacco che i prodotti CMS convalidano durante l’elaborazione dei campi di upload.

Il problema è stato anche un grosso problema per gli utenti Windows, dove gli autori di malware spesso distribuiscono file con due estensioni, come file.png.exe.

Poiché Windows nasconde l’ultima estensione di file per impostazione predefinita, le estensioni EXE sono nascoste mentre viene mostrata solo la prima, inducendo gli utenti a credere che stiano aprendo un’immagine ma, in realtà, stanno effettivamente eseguendo un file eseguibile che alla fine installerà un malware.