Le chercheur Fernando Arnaboldi du spécialiste de la sécurité IOActive Labs, a découvert des failles de sécurité dans le processus de mise à jour du système de gestion de contenu (SGC) Drupal qui affecteraient toutes les versions.
Les mises à jour du SGC ne sont pas chiffrées, et aucune vérification n’est effectuée quant à l’authenticité des fichiers de mise à jour.
Un attaquant sur le même réseau que la cible pourrait exploiter ces failles de sécurité en créant une attaque de l’homme du milieu. Comme la liste des fichiers à mettre à jour est écrite dans un fichier XML non chiffré, l’attaquant pourrait fournir un autre fichier XML pointant sur des fichiers malicieux. Une fois le processus de mise à jour commencé, et un module pirate exécuté, le pirate peut théoriquement voler le mot de passe de la base de données et lancer n’importe quel exécutable.
Arnaboldi fournit une preuve de faisabilité en créant un fichier XML alternatif que Drupal accepte sans sourciller, et en faisant installer une interface système inversée qui se connecte à son ordinateur ‘pirate’ et donne accès à la ligne de commande Linux de la ‘victime’.
Malheureusement, il n’existe actuellement aucun correctif. Une situation d’autant plus choquante que des discussions sur ce sujet avaient été entamées dès avril 2012. Et si l’on en croit Linux Magazine, ce type de mise à jour dangereuse est la norme plutôt que l’exception dans le monde Linux.
La seule solution est de télécharger les mises à jour de Drupal et de ses add-ons manuellement.
Deux autres vulnérabilités découvertes récemment ne font qu’empirer la situation. La première est que Drupal affirme que, suite à un problème de réseau, « tous les projets sont mis à jour », ce qui peut induire l’utilisateur en erreur et faire croire à l’administrateur que tout va bien. La deuxième est que dans certaines conditions, un pirate pourrait exploiter les vulnérabilités précédentes pour créer une attaque par déni de service.
D’après W3Techs, Drupal est le troisième système de gestion de contenu derrière WordPress et Joomla. Il serait utilisé sur 2,1 % des sites Web en utilisation.