<div dir="ltr"><br><div class="gmail_quote">
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA256<br>
<br>
Prezados,<br>
<br>
CAIS-Alerta [20/11/2020]: Vulnerabilidade crítica no CMS Drupal (CORE)<br>
<br>
O CAIS alerta para uma vulnerabilidade crítica recentemente encontrada no Drupal CMS que pode permitir a execução remota de códigos. Até o momento da publicação deste alerta, não foram identificados códigos de exploração para a vulnerabilidade identificada.<br>
<br>
<br>
DESCRIÇÃO<br>
<br>
Dada uma falha nos controles de sanitização de arquivos do módulo de upload do Drupal, é possível que arquivos sejam interpretados com extensões incorretas e sejam exibidos ao requisitante com o MIME type incoerente e, em casos específicos, executados como scripts PHP, dependendo das configurações do serviço. A janela de oportunidade para exploração desta vulnerabilidade consiste na maneira como CMS exibe sua API de upload, tendendo a variar dependendo da implantação e configuração do CMS, ou seja, um usuário pode realizar upload ou com uma credencial e sessão válida, ou de forma pública. A vulnerabilidade pode ser explorada tanto por um usuário autenticado como também sem autenticação.<br>
<br>
<br>
SISTEMAS IMPACTADOS<br>
<br>
Sistemas utilizando Drupal.<br>
<br>
<br>
VERSÕES AFETADAS<br>
<br>
 - - Drupal 9.0.7 e anteriores<br>
 - - Drupal 8.9.8 e anteriores<br>
 - - Drupal 8.8.10 e anteriores<br>
 - - Drupal 7.73 e anteriores<br>
<br>
<br>
CORREÇÕES DISPONÍVEIS<br>
<br>
Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores:<br>
 - - Versão 9.0.8 para versões 9.0.x;<br>
 - - Versão 8.9.9 para versões 8.9.x;<br>
 - - Versão 8.8.11 para versões 8.8.x;<br>
 - - Versão 7.74 para versões 7.x;<br>
<br>
Recomendações adicionais:<br>
 - - Auditar arquivos previamente enviados via API de upload do Drupal, de modo a identificar extensões maliciosas;<br>
 - - Verificar se arquivos enviados possuem mais de uma extensão, como por exemplo "arquivo.txt.php" ou "arquivo.html.gif" sem um underscore (_) ao final da extensão.<br>
 - - Verificar arquivos suspeitos com extensões, como, por exemplo: .phar, .php, .pl, .py, .cgi, .asp, .js, .html, .htm, .phtml (lista não limita aos exemplos citados).<br>
<br>
<br>
IDENTIFICADORES CVE (<a href="http://cve.mitre.org" rel="noreferrer" target="_blank">http://cve.mitre.org</a>)<br>
<br>
CVE-2020-13671<br>
<br>
MAIS INFORMAÇÕES<br>
[1] <a href="https://www.drupal.org/sa-core-2020-012" rel="noreferrer" target="_blank">https://www.drupal.org/sa-core-2020-012</a><br>
[2] <a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13671" rel="noreferrer" target="_blank">https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13671</a><br>
[3] <a href="https://meterpreter.org/cve-2020-13671-drupal-remote-code-execution-vulnerability-alert/" rel="noreferrer" target="_blank">https://meterpreter.org/cve-2020-13671-drupal-remote-code-execution-vulnerability-alert/</a><br>
<br>
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.<br>
<br>
Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!<br>
Twitter: @caisRNP<br>
Facebook: <a href="http://facebook.com/RedeNacionaldeEnsinoePesquisaRNP" rel="noreferrer" target="_blank">facebook.com/RedeNacionaldeEnsinoePesquisaRNP</a>.<br>
<br>
Atenciosamente,<br>
<br>
CAIS/RNP<br>
<br>
################################################################<br>
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #<br>
#       Rede Nacional de Ensino e Pesquisa (RNP)               #<br>
#                                                              #<br>
# <a href="mailto:cais@cais.rnp.br" target="_blank">cais@cais.rnp.br</a>       <a href="http://www.rnp.br/servicos/seguranca" rel="noreferrer" target="_blank">http://www.rnp.br/servicos/seguranca</a>  #<br>
# Tel. 019-37873300      Fax. 019-37873301                     #<br>
# Chave PGP disponivel   <a href="https://www.cais.rnp.br/cais-pgp.key" rel="noreferrer" target="_blank">https://www.cais.rnp.br/cais-pgp.key</a>  #<br>
################################################################<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: OpenPGP.js v2.6.2<br>
Comment: <a href="https://openpgpjs.org" rel="noreferrer" target="_blank">https://openpgpjs.org</a><br>
<br>
wsFcBAEBCAAQBQJfuBWDCRB83qA0uPj0mAAAl/YP/3VWCaurXuMIVN5H2EAz<br>
FMFG6VeOURXUYlOde/PU+kjdI6DlOtZR6t2Xb43vfMHTvwX20QA1dFgJ7xpM<br>
+ufABDyGoaGEOla1SudLHNuMp45BsA+blDw2eoHqYLgvXQmCz+ZhO1p3FBVT<br>
l/XxsrqMkEqskLuff3WLiG2f2nyaxlVy3CunPfnNr4h/ewyyjeIrpfabrO/R<br>
P82kcAv35ZLwnpaQy0AvXn8JZUo4vaKg4DxQfGyXEv8Na84MPZR6vWrt7MCx<br>
HAw8hD/dCsgcXlYOyQaQ5V+El1h+8a+ZIcls2b6fBO1Y9c6K+fSp7OdI8UJN<br>
7YxIxkucyRp9unJjG7bkhWmdqPmBd2ezREH/J8fDeHwPRqx8mtdnWsjcNYVn<br>
y/uDUw5z6+42ePSrw4A04isJHRiDf7y3W/jP6h+bx352OKYHEQvcQfCf6NqQ<br>
5ZMOIDqW8OkmnAhVH54mWbg2h9A/UFOhNdhf/UZduy2Z2wLFDY6S9GP9UnDt<br>
w+im79xwzl6BOkfa2Imwyv7JlOlbW43qxAIaWqtqBzWNiqs2qp1d60m2OYl9<br>
3s5Ri4xNLyZBMX9IqttJO3EOq9nXzXf4NZhxRFxsQXf+FvdnjAmQn5Hlj9bc<br>
0EnEFdoVF//SbODlpdQD/VvpjmHCMT7J9VknwlljyhLz8Jm2TptdDQUO+ELk<br>
xnwP<br>
=Hvyn<br>
-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
RNP-Alerta<br>
<a href="mailto:rnp-alerta@listas.rnp.br" target="_blank">rnp-alerta@listas.rnp.br</a><br>
<a href="https://listas.rnp.br/mailman/listinfo/rnp-alerta" rel="noreferrer" target="_blank">https://listas.rnp.br/mailman/listinfo/rnp-alerta</a></div><div class="gmail_quote"><br></div><div class="gmail_quote"><br clear="all"><div><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>===</div><div>Computer Security Incident Response Team - CSIRT</div><div>Universidade Estadual de Campinas - Unicamp</div><div>Centro de Computacao - CCUEC</div><div>GnuPG Public Key: <a href="http://www.security.unicamp.br/security.asc" target="_blank">http://www.security.unicamp.br/security.asc</a> [^]</div><div>Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830</div></div></div></div>
</div></div>