Guide HTML Java Linguaggio C Python JavaScript PHP C++CSS Android Approfondimenti

Drupal a rischio cryptojacking

Una vulnerabilità a carico del CMS Drupal permetterebbe di veicolare codice JavaScript finalizzato ad azioni di cryptojacking.

di Claudio Davide Ferrara
1 Marzo 2019

Nelle scorse settimane alcuni ricercatori hanno evidenziato la presenza di nuova nuove vulnerabilità critiche a carico di Drupal, il noto CMS open source.

Il bug di sicurezza è stato etichettato come CVE-2019-6340 e nello specifico si tratta di una remote-code-execution flaw, originata dall’assenza di un controllo appropriato dei dati provenienti da RESTful Web services.

Esso consente l’esecuzione da remoto di codice malevolo all’interno di un Web server che ospita Drupal. Gli sviluppatori del CMS hanno dunque invitato tutti gli amministratori dei si Web animati dall’applicazione ad aggiornare la propria installazione al più presto, è stato infatti già distribuito un nuovo hotfix di sicurezza.

Nel dettaglio la vulnerabilità è presente nelle installazioni di Drupal 8 core con il modulo RESTful Web Services abilitato. Inoltre i siti che usano altri moduli Web services come JSON:API, o che sfruttano versioni più datate di Drupal, sono ugualmente a rischio.

Il team di Ambionics Security ha però esaminato nel dettaglio il bug, scoprendo che la patch fornita dal team di Drupal non risolve il problema:

“Usando la patch rilasciata da Drupal siamo comunque riusciti a realizzare un exploit di codice funzionante. Abbiamo quindi scoperto che tale patch era incompleta e che di fatto non risolve nulla”

L’esecuzione del codice da remoto sarebbe sfruttabile tramite una richiesta via GET operata senza nessuna forma di autenticazione, anche se le richieste POST/PATCH sono disabilitate nella REST configuration. L’unica soluzione dunque è attendere una nuova patch e nel frattempo sarebbe auspicabile disattivare il modulo REST.

In questi giorni un’altra agenzia di sicurezza informatica, Imperva, ha rilevato diversi attacchi che sfruttano proprio tale vulnerabilità.

Nello specifico si tratta di tentativi di code injection di script JavaScript che hanno l’obbiettivo di eseguire delle operazioni di cryptojacking.

Dunque gli utenti che si ritrovavano a navigare sui siti Web colpi da tale attacco potrebbero eseguire il download, a loro insaputa, di un tool per il mining di criptovalute che verrebbe attivato in backgroud senza notificare nulla all’utente.

Inoltre i ricercatori di Imperva hanno rilevato che tali script tentano di installare anche un tool di upload per caricare in remoto dei file presenti sul disco dell’utente. Si tratta quindi di una falla veramente pericolosa che probabilmente ha già portato al successo di numerosi attacchi non segnalati o non ancora scoperti.

Via Ambionics Security

I Video di HTML.it

Percorsi formativi correlati

Tutti i linguaggi per diventare uno sviluppatore di app per Android.

Come creare applicazioni per il Web con PHP e MySQL per il DBMS.

Tutte le principali tecnologie per diventare uno sviluppatore mobile per iOS.

I fondamentali per lo sviluppo di applicazioni multi piattaforma con Java.

Diventare degli esperti in tema di sicurezza delle applicazioni Java.

Usare Raspberry Pi e Arduino per avvicinarsi al mondo dei Maker e dell’IoT.

Le principali guide di HTML.it per diventare un esperto dei database NoSQL.

Ecco come i professionisti creano applicazioni per il Cloud con PHP.

Lo sviluppo professionale di applicazioni in PHP alla portata di tutti.

Come sviluppare applicazioni Web dinamiche con PHP e JavaScript.

Fare gli e-commerce developer con Magento, Prestashop e WooCommerce.

Realizzare applicazioni per il Web utilizzando i framework PHP.

Creare applicazioni PHP e gestire l’ambiente di sviluppo come un pro.

Percorso base per avvicinarsi al web design con un occhio al mobile.

Realizzare siti Web e Web application con WordPress a livello professionale.

Ti consigliamo anche

Database

Migliorare le prestazioni di MySQL

Quali sono le configurazioni post-installazione di MySQL che possono migliorare le prestazioni del database. Analisi delle prestazioni e definizione dei colli di bottiglia

CSS

Modular corners

Creare box con angoli arrotondati affiancati sulla stessa riga

Development

Usiamo DHTML per una pagina di preload tipo Flash

Come utilizzare il linguaggio HTML dinamico per costruire una preloader in stile Flash

Design

Guida Sketch

15 Lezioni
Facile

Sketch, una guida completa al software professionale per computer Mac che consente di implementare UI (user interface) e ottimizzare la UX (user experience). Le lezioni contengono tutte le indicazioni e i suggerimenti necessari per creare un ambiente di lavoro diventando immediatamente operativi, disegnare oggetti tramite forme geometriche e oggetti complessi, gestire stili e testi, salvare ed esportare i propri elaborati.

Sicurezza

Drupal a rischio cryptojacking

I Video di HTML.it

Aruba Vs. AWS: offerte Cloud per WordPress a confronto

Android Mobile Developer

DB Administrator

iOS Mobile Developer

Java Developer

Java Security Expert

Maker

NoSQL DB Expert

PHP Cloud Developer

PHP Developer

PHP e JavaScript Developer

PHP eCommerce developer

PHP Framework Expert

PHP SysAdmin

Web & Mobile Designer

WordPress Developer

Migliorare le prestazioni di MySQL

Modular corners

Usiamo DHTML per una pagina di preload tipo Flash

Guida Sketch

WhatsApp: la nuova privacy policy è illegale?

FileZilla include adware nell’installer su Windows

Chrome: HTTPS predefinito per gli URL

Security.txt: uno standard per le informazioni di sicurezza di un sito web

Total Cookie Protection in Firefox