Drupageddon schwerwiegender als angenommen?
Kommentare

Mitte Oktober berichteten wir über Drupageddon, eine im Drupal-7-Core aufgetauchte Schwachstelle, die es Angreifern ermöglichte, die volle Kontrolle über die Datenbank zu erlangen. Anfangs war man sich nicht sicher, ob und wie die Sicherheitslücke ausgenutzt werden würde – nach kurzer Zeit jedoch wurde auf Reddit ein Proof of Concept veröffentlicht, der zeigte, wie diese Schwachstelle auszunutzen ist.

Jetzt stellt sich heraus: Wer nicht innerhalb der ersten sieben Stunden reagiert hat, muss davon ausgehen, dass seine Drupal-7-Installation kompromittiert wurde. Wer die Sicherheitslücke mit dem Patch nach dem Ablauf dieser sieben Stunden geschlossen hat, ist wahrscheinlich noch lange nicht sicher. Das alles, und noch einiges mehr, ist einem aktuellen Advisory des Drupal Advisory Teams zu entnehmen.

Automatisierte Angriffe auf Drupal 7

Wie dem Public Service Announcement 2014-003 zu entnehmen ist, gab es wenige Stunden nach der Veröffentlichung der Drupgaeddon-Schwachstelle einen koordinierten Angriff auf Drupal-7-Websites.

Automated attacks began compromising Drupal 7 websites that were not patched or updated to Drupal 7.32 within hours of the announcement of SA-CORE-2014-005 – Drupal core – SQL injection. You should proceed under the assumption that every Drupal 7 website was compromised unless updated or patched before Oct 15th, 11pm UTC, that is 7 hours after the announcement.

Wer also bis zum 16. Oktober um 1 Uhr morgens unserer Zeit den Patch noch nicht eingespielt hatte, sollte laut Drupal Security Team davon ausgehen, dass seine Drupal-7-Installation kompromittiert ist.

Simply updating will not remove backdoors.

Die auf den Namen Drupageddon getaufte und als Highly Critical eingestufte Schwachstelle SA-CORE-2014-005 wurde durch Zufall in einem Security Audit entdeckt, welches das Sicherheitsunternehmen SektionEins im Auftrag eines Kunden durchgeführt hatte.

Betroffen von dieser Schwachstelle – und von dem PoC – sind alle Drupal-Installationen der 7.x-Reihe vor Drupal 7.32. Ein nachträgliches Update sei jedoch kein ausreichender Schutz, wie das Drupal Security Team betont.

Das eigentliche Problem dahinter sind eigentlich zwei: So sei es zum einen möglich, dass Angreifer alle Daten aus der Website kopiert haben und nun missbrauchen könnten. „There may be no trace of the attack.“ Das Team hat eine Dokumentation erstellt, die man sich auf alle Fälle zu Gemüte führen sollte: Your Drupal site got hacked. No what?

Ebenso schwerwiegend ist aber das zweite Problem: die möglichen Backdoors.

Attackers may have created access points for themselves (sometimes called “backdoors”) in the database, code, files directory and other locations. Attackers could compromise other services on the server or escalate their access.

Im oben genannten Service Announcement gibt das Team eine Anleitung, mit der man in acht Schritten Sicherstellen kann, auch wirklich alle Hintertürchen entfernt zu haben. Dafür benötige man jedoch zwingend ein Backup der Installation von vor dem 15. Oktober 2014.

Das Drupal Security Team nimmt Drupageddon also sehr ernst. Betreiber einer Drupal-Website sollten das also ebenfalls tun.

Aufmacherbild: Backdoor Entry Computer Security Threat and Protection von Shutterstock / Urheberrecht: kentoh

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -