Drupalgeddon

© iStock, Drupal, Spiria.

Le chercheur en sécurité Troy Mursch a découvert que plus de 115 000 sites web reposant sur Drupal — dont beaucoup appartiennent à de grandes universités, des organismes gouvernementaux et des groupes médiatiques — demeurent largement exposés aux prises de contrôle par des pirates parce qu’ils n’ont pas installé d’importants correctifs de sécurités publiés il y a 10 semaines. Un autre chercheur, Jérôme Segura, a indiqué que nombreux sont ces sites à être déjà compromis et qu’ils sont utilisés pour miner subrepticement des cryptomonnaies ou propager des logiciels malveillants auprès de visiteurs peu méfiants. Drupal est l’un des systèmes de gestion de contenu (CMS) les plus populaires, avec WordPress et Joomla. Fin mars 2018, Drupal a été touché par une vulnérabilité permettant l’exécution de code à distance (CVE-2018-7600) suivie d’une autre (CVE-2018-7602) près d’un mois plus tard. Ces deux failles, tant sévères que faciles à exploiter, ont été surnommées Drupalgeddon 2 et 3, en souvenir une vulnérabilité similaire de 2014 qui avait suscité la création du nom de Drupalgeddon. Quel que soit le CMS (aucun n’étant parfaitement invulnérable), il est crucial d’installer en temps et en heure les patches de sécurité, d’autant plus que le temps entre la publication d’une vulnérabilité et son exploitation par les pirates peut être très court. Si vous n’êtes pas en mesure de monitorer les annonces et d’installer dans des délais raisonnables les correctifs, il vous faut sans doute penser à déléguer cette tâche à un service externe professionnel.

⇨ Malwarebytes Labs, “A look into Drupalgeddon’s client-side attacks.”

⇨ Ars Technica, “Three months later, a mass exploit of powerful Web servers continues.”