O Drupal Security Team publicou o advisory SA-CORE-2018-002, uma vulnerabilidade crítica de execução remota de código que fica conhecida como Drupalgeddon2.1 Para qualquer organização com sites Drupal expostos, a mensagem é urgente: atualizar imediatamente ou assumir risco real de comprometimento.

CMS corporativos costumam ficar em uma zona perigosa. São visíveis na internet, recebem plugins, temas e customizações, mas muitas vezes não têm o mesmo rigor operacional de sistemas transacionais. Drupalgeddon2 expõe que essa diferença é insustentável. Quando uma falha crítica aparece em uma plataforma popular, a automação ofensiva tende a seguir rapidamente.

O relógio começa no advisory

Em vulnerabilidades críticas de CMS, o tempo útil de correção é menor do que o calendário sugere. A partir do advisory, atacantes analisam patches, constroem exploits e varrem a internet em busca de instâncias vulneráveis. Equipes defensoras precisam agir antes que a exploração se torne commodity.

O advisory oficial orienta atualização para versões corrigidas e trata a severidade como crítica.1 Esse tipo de comunicado exige um processo já preparado: inventário de sites, identificação de versões, donos técnicos, janela emergencial, backup, rollback e validação pós-patch. Sem isso, a organização perde horas descobrindo quem responde por cada instalação.

A exploração de RCE em Drupal exige atenção a sinais técnicos, logs, arquivos alterados e comportamento anômalo. A regra operacional é direta: publicar patch não reduz risco se a aplicação real continua vulnerável.

CMS é aplicação crítica

Muitas empresas subestimam sites institucionais, portais e hotsites porque eles não parecem conter o núcleo do negócio. Essa avaliação é incompleta. Um CMS comprometido pode distribuir malware, roubar credenciais, hospedar phishing, servir como pivô para rede interna ou afetar reputação pública.

Além disso, CMS raramente é apenas core. Há módulos, integrações, formulários, CDN, analytics, contas administrativas e pipelines de conteúdo. A superfície de ataque cresce com cada extensão e cada exceção feita para publicar mais rápido.

Por isso, segurança de CMS precisa ser tratada como programa: hardening, menor privilégio, autenticação forte para administradores, revisão de módulos, ambiente de homologação, backups testados e monitoramento de integridade. Atualização é parte do controle, não o controle inteiro.

Patching precisa ser ensaiado

Drupalgeddon2 deixa claro que organizações não podem inventar o processo durante a crise. O ideal é ensaiar atualização de CMS antes de uma emergência, automatizar deploy quando possível e manter documentação de dependências customizadas. A dificuldade de atualizar geralmente revela dívida técnica acumulada.

Também é importante separar disponibilidade de segurança. Evitar uma janela de manutenção por medo de indisponibilidade pode resultar em incidente muito mais caro. Um patch crítico deve ter caminho rápido, com responsáveis capazes de tomar decisão informada.

Drupalgeddon2 reforça uma regra dura: sistemas expostos envelhecem publicamente. Se a empresa não sabe onde estão seus CMS, quem os mantém e como atualizá-los em horas, ela está delegando o ritmo da resposta ao atacante.

  1. Drupal Security Team, "Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002", 28 março 2018.