Drupal publie un correctif pour une vulnérabilité aux attaques à double extension

Drupal publie un correctif pour une vulnérabilité aux attaques à double extension

Image : Projet Drupal // Composition : ZDNet.

L’équipe à l’origine du CMS Drupal a publié cette semaine des mises à jour de sécurité pour corriger une vulnérabilité critique facilement exploitable, qui aurait pu donner à des attaquants un contrôle total sur les sites vulnérables.

Drupal, qui est actuellement le quatrième CMS le plus utilisé sur internet (après WordPress, Shopify et Joomla), a attribué à la vulnérabilité la note “Critique”, conseillant aux propriétaires de sites d’appliquer les correctifs dès que possible.

publicité

Une vulnérabilité facilement exploitable

Nommée CVE-2020-13671, la vulnérabilité est ridiculement simple à exploiter et repose sur la bonne vieille astuce de la “double extension”.

Il suffirait à des attaquants d’ajouter une deuxième extension à un fichier malveillant, de le télécharger sur un site Drupal par le biais de champs de téléchargement ouverts, et de faire exécuter le malware.

Par exemple, un attaquant pourrait renommer un malware “malware.php” en “malware.php.txt”. Une fois chargé sur un site Drupal, le fichier sera alors classé comme un fichier texte, et non un fichier PHP. Pourtant, quand Drupal essayera de lire le fichier texte, il finira par exécuter le code PHP malveillant.

Mauvaise interprétation de l’extension

En temps normal, les fichiers contenant deux extensions sont détectés. Mais, dans une note de sécurité publié mercredi, les développeurs de Drupal indiquent que la vulnérabilité réside dans le fait que le CMS Drupal ne nettoie pas “certains” noms de fichiers, permettant ainsi à des malwares de passer par les mailles du filet.

Selon ces derniers, cette situation « peut conduire à ce qu’une mauvaise extension des fichiers soit considérée, et servent de mauvais type MIME ou soient exécutés en PHP pour certaines configurations d’hébergement ».

Des mises à jour de sécurité ont été publiées pour les versions 7, 8 et 9 de Drupal afin de corriger les procédures d’assainissement des téléchargements de fichiers.

Liste des extensions à surveiller

Mais l’équipe Drupal avertit également les administrateurs de sites de vérifier les téléchargements récents de fichiers ayant deux extensions, au cas où la faille de sécurité aurait été découverte et exploitée par des attaquants avant la publication du correctif.

« Faites particulièrement attention aux extensions de fichiers suivantes, qui doivent être considérées comme dangereuses même si elles sont suivies d’une ou plusieurs autres extensions : »

  • phar
  • php
  • pl
  • py
  • cgi
  • asp
  • js
  • html
  • htm
  • phtml

« Cette liste n’est pas exhaustive, alors il faut évaluer au cas par cas les problèmes de sécurité pour d’autres extensions non fusionnées », précisent les développeurs de Drupal.

Une astuce vieille comme le monde

Il est surprenant qu’un tel bug ait été découvert sur Drupal. La double extension est une astuce vieille comme le monde, et c’est l’un des premiers vecteurs d’attaque vérifiés par les CMS lors du traitement des champs de chargement.

Le problème concerne surtout les utilisateurs de Windows, car les malwares sont souvent distribués avec deux extensions, comme par exemple file.png.exe. Windows masquant par défaut la dernière extension d’un fichier, l’extension .exe n’apparaît pas. L’utilisateur ne voit donc que la première extension, pensant qu’il s’agit d’un fichier image alors qu’il lance un fichier exécutable qui finit par installer un logiciel malveillant.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *