-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Prezados, CAIS-Alerta [20/11/2020]: Vulnerabilidade crítica no CMS Drupal (CORE) O CAIS alerta para uma vulnerabilidade crítica recentemente encontrada no Drupal CMS que pode permitir a execução remota de códigos. Até o momento da publicação deste alerta, não foram identificados códigos de exploração para a vulnerabilidade identificada. DESCRIÇÃO Dada uma falha nos controles de sanitização de arquivos do módulo de upload do Drupal, é possível que arquivos sejam interpretados com extensões incorretas e sejam exibidos ao requisitante com o MIME type incoerente e, em casos específicos, executados como scripts PHP, dependendo das configurações do serviço. A janela de oportunidade para exploração desta vulnerabilidade consiste na maneira como CMS exibe sua API de upload, tendendo a variar dependendo da implantação e configuração do CMS, ou seja, um usuário pode realizar upload ou com uma credencial e sessão válida, ou de forma pública. A vulnerabilidade pode ser explorada tanto por um usuário autenticado como também sem autenticação. SISTEMAS IMPACTADOS Sistemas utilizando Drupal. VERSÕES AFETADAS - - Drupal 9.0.7 e anteriores - - Drupal 8.9.8 e anteriores - - Drupal 8.8.10 e anteriores - - Drupal 7.73 e anteriores CORREÇÕES DISPONÍVEIS Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores: - - Versão 9.0.8 para versões 9.0.x; - - Versão 8.9.9 para versões 8.9.x; - - Versão 8.8.11 para versões 8.8.x; - - Versão 7.74 para versões 7.x; Recomendações adicionais: - - Auditar arquivos previamente enviados via API de upload do Drupal, de modo a identificar extensões maliciosas; - - Verificar se arquivos enviados possuem mais de uma extensão, como por exemplo "arquivo.txt.php" ou "arquivo.html.gif" sem um underscore (_) ao final da extensão. - - Verificar arquivos suspeitos com extensões, como, por exemplo: .phar, .php, .pl, .py, .cgi, .asp, .js, .html, .htm, .phtml (lista não limita aos exemplos citados). IDENTIFICADORES CVE (http://cve.mitre.org) CVE-2020-13671 MAIS INFORMAÇÕES [1] https://www.drupal.org/sa-core-2020-012 [2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13671 [3] https://meterpreter.org/cve-2020-13671-drupal-remote-code-execution-vulnerability-alert/ O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJfuBWDCRB83qA0uPj0mAAAl/YP/3VWCaurXuMIVN5H2EAz FMFG6VeOURXUYlOde/PU+kjdI6DlOtZR6t2Xb43vfMHTvwX20QA1dFgJ7xpM +ufABDyGoaGEOla1SudLHNuMp45BsA+blDw2eoHqYLgvXQmCz+ZhO1p3FBVT l/XxsrqMkEqskLuff3WLiG2f2nyaxlVy3CunPfnNr4h/ewyyjeIrpfabrO/R P82kcAv35ZLwnpaQy0AvXn8JZUo4vaKg4DxQfGyXEv8Na84MPZR6vWrt7MCx HAw8hD/dCsgcXlYOyQaQ5V+El1h+8a+ZIcls2b6fBO1Y9c6K+fSp7OdI8UJN 7YxIxkucyRp9unJjG7bkhWmdqPmBd2ezREH/J8fDeHwPRqx8mtdnWsjcNYVn y/uDUw5z6+42ePSrw4A04isJHRiDf7y3W/jP6h+bx352OKYHEQvcQfCf6NqQ 5ZMOIDqW8OkmnAhVH54mWbg2h9A/UFOhNdhf/UZduy2Z2wLFDY6S9GP9UnDt w+im79xwzl6BOkfa2Imwyv7JlOlbW43qxAIaWqtqBzWNiqs2qp1d60m2OYl9 3s5Ri4xNLyZBMX9IqttJO3EOq9nXzXf4NZhxRFxsQXf+FvdnjAmQn5Hlj9bc 0EnEFdoVF//SbODlpdQD/VvpjmHCMT7J9VknwlljyhLz8Jm2TptdDQUO+ELk xnwP =Hvyn -----END PGP SIGNATURE-----