[SECURITY-L] [RNP/CAIS Alerta #0058] Vulnerabilidade crítica no CMS Drupal (CORE)

CSIRT Unicamp security em unicamp.br
Sexta Novembro 20 17:18:35 -03 2020 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Prezados,

CAIS-Alerta [20/11/2020]: Vulnerabilidade crítica no CMS Drupal (CORE)

O CAIS alerta para uma vulnerabilidade crítica recentemente encontrada no
Drupal CMS que pode permitir a execução remota de códigos. Até o momento da
publicação deste alerta, não foram identificados códigos de exploração para
a vulnerabilidade identificada.


DESCRIÇÃO

Dada uma falha nos controles de sanitização de arquivos do módulo de upload
do Drupal, é possível que arquivos sejam interpretados com extensões
incorretas e sejam exibidos ao requisitante com o MIME type incoerente e,
em casos específicos, executados como scripts PHP, dependendo das
configurações do serviço. A janela de oportunidade para exploração desta
vulnerabilidade consiste na maneira como CMS exibe sua API de upload,
tendendo a variar dependendo da implantação e configuração do CMS, ou seja,
um usuário pode realizar upload ou com uma credencial e sessão válida, ou
de forma pública. A vulnerabilidade pode ser explorada tanto por um usuário
autenticado como também sem autenticação.


SISTEMAS IMPACTADOS

Sistemas utilizando Drupal.


VERSÕES AFETADAS

 - - Drupal 9.0.7 e anteriores
 - - Drupal 8.9.8 e anteriores
 - - Drupal 8.8.10 e anteriores
 - - Drupal 7.73 e anteriores


CORREÇÕES DISPONÍVEIS

Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada
pelos desenvolvedores:
 - - Versão 9.0.8 para versões 9.0.x;
 - - Versão 8.9.9 para versões 8.9.x;
 - - Versão 8.8.11 para versões 8.8.x;
 - - Versão 7.74 para versões 7.x;

Recomendações adicionais:
 - - Auditar arquivos previamente enviados via API de upload do Drupal, de
modo a identificar extensões maliciosas;
 - - Verificar se arquivos enviados possuem mais de uma extensão, como por
exemplo "arquivo.txt.php" ou "arquivo.html.gif" sem um underscore (_) ao
final da extensão.
 - - Verificar arquivos suspeitos com extensões, como, por exemplo: .phar,
.php, .pl, .py, .cgi, .asp, .js, .html, .htm, .phtml (lista não limita aos
exemplos citados).


IDENTIFICADORES CVE (http://cve.mitre.org)

CVE-2020-13671

MAIS INFORMAÇÕES
[1] https://www.drupal.org/sa-core-2020-012
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13671
[3]
https://meterpreter.org/cve-2020-13671-drupal-remote-code-execution-vulnerability-alert/

O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,

CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=Hvyn
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta


===
Computer Security Incident Response Team - CSIRT
Universidade Estadual de Campinas - Unicamp
Centro de Computacao - CCUEC
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20201120/f3d5e784/attachment.html>

Mais detalhes sobre a lista de discussão SECURITY-L