Drupal, uno dei CMS Top 3 di Internet è viziato da diversi bug nel suo processo di aggiornamento e questo potrebbe consentire agli hacker di avvelenare le installazioni tramite pacchetti di aggiornamento e, nel peggiore dei casi, gli hacker potrebbero persino impossessarsi dei server.
Drupal non è popolare come WordPress e Joomla, ma è utilizzato da alcune aziende di contenuti abbastanza seri e viene anche utilizzato principalmente per creare siti Web aziendali su misura, su larga scala e altamente personalizzabili.
Il ricercatore di IOActive, Fernando Arnaboldi, afferma in un post che tutte le nuove installazioni di Drupal sono interessate dal meccanismo di aggiornamento imperfetto e che le correzioni non sono ancora disponibili.
Come ogni CMS moderno, Drupal può essere aggiornato automaticamente dalla sua amministrazione di backend con un semplice clic di un pulsante. Il sito ha anche un controllo automatico degli aggiornamenti per i suoi moduli e core. Questo notifica all'amministratore ogni volta che una nuova versione è disponibile e consente loro di aggiornare rapidamente la propria piattaforma.
Arnaboldi afferma che i siti sono ora a rischio di ulteriori attacchi ora e in futuro perché Drupal 7 e 8 vengono contrassegnati come "aggiornati" anche quando il processo di patch automatico fallisce a causa di collegamenti Internet non funzionanti.
"Ogni volta che il processo di aggiornamento di Drupal fallisce, Drupal afferma che tutto è aggiornato invece di dare un avvertimento", dice Arnaboldi. "In Drupal 6 c'era un messaggio di avviso, ma questo non è presente in Drupal 7 o Drupal 8."
Arnaboldi ha anche notato altre vulnerabilità, tra cui il fatto che il processo di aggiornamento viene eseguito su HTTP anziché su HTTPS. E questo apre la possibilità di attacchi man-in-the-middle sulle reti pubbliche.
Inoltre, Arnaboldi afferma che la mancata verifica dell'autenticità degli aggiornamenti scaricati potrebbe consentire l'esecuzione di codice in modalità remota.
Nel corso del tempo, molti webmaster potrebbero decidere di passare da Drupal a un altro sito come WordPress. In effetti, alla luce delle attuali vulnerabilità; potremmo vedere ancora più defezioni. WordPress è probabilmente il miglior CMS per i webmaster, dato che la percentuale di 25 di tutti i siti Web nel mondo l'ha approvata e ora utilizza la piattaforma. WordPress è anche un costruttore di siti ricco e conveniente per molte piccole imprese.
Immagine: Drupal.org
1
