Me hago eco de un post de Mónica Tilves (Silicon Week) para comunicar una vulnerabilidad en los sitios realiados con Drupal. Los responsables de dicha herramienta informaron sobre su existencia, explicando que afectaba versiones basadas en el núcleo 7.x. Al menos a todas aquellas anteriores a Drupal 7.32, por lo que recomendaban actualizar cuanto antes a esta última numeración.

Eso sí, ahora, semanas después de su descubrimiento, han querido insistir en la problemática de la situación recordando que pasarse a Drupal 7.32, por sí solo, “no arreglará un sitio web ya comprometido”. Y es que, “simplemente actualizando a Drupal 7.32 no se eliminará las puertas traseras”.

El problema es que se habrían estado acometiendo ataques de ciberdelincuencia que aprovechan la vulnerabilidad y que, por poder, podrían haber comprometido a cualquier web vulnerable en cuestión de horas. Según Drupal, habría que dar por válida “la suposición de que todos los sitios web Drupal 7 quedaron comprometidos si no fueron actualizados o parcheados antes del 15 de octubre, a las 23:00 UTC, esto es, 7 horas después del anuncio” original.

Es por ello que el consejo de los expertos consiste en restaurar las páginas utilizando copias de seguridad con fecha anterior a ese día. O, en su defecto, “reconstruir desde cero”.

Los dueños de páginas web que cuadren con la descripción dada no deberían relajarse si su sitio aparece actualizado de repente, sin necesidad de hacer nada por su cuenta, porque el parche podría haber sido aplicado directamente por un atacante.