Hochkritische Sicherheitslücke in Drupal
Kommentare

Drupal hadert derzeit mit einer gravierenden Sicherheitslücke. Dazu gab das Sicherheitsteam um das beliebte Open-Source-CMS gestern eine dringliche Meldung heraus. Das Sicherheitsrisiko wurde als hochkritisch eingestuft. Betroffen seien alle Drupal-7-Installationen, die kein Patch oder Update auf Version 7.32 innerhalb von wenigen Stunden nach Meldung der Schwachstelle am 15. Oktober erhielten.

Drupal 7 angreifbar durch SQL-Injections

Die gestrige Warnung wurde durch eine Angriffswelle nach dem Bekanntwerden einer Lücke vor zwei Wochen veranlasst. Am 15. Oktober wies Drupals Security Advisory auf eine Schwachstelle in allen Drupal-Core 7 Versionen hin. Diese erlaubt SQL-Injections ohne Authentifizierung, durch die die direkte Übernahme einer Website ermöglicht wird. Als Sicherheitsmaßnahme stellte das Entwicklerteam des Content-Managing-Systems ein Update auf Drupal 7.32 und einen Bugfix bereit. Sofort nachdem die Lücke publik wurde, begannen jedoch automatisierte Angriffe auf noch nicht aktualisierte Installationen. In der Meldung des Sicherheitsteams heißt es jetzt: alle Drupal-7 Webseiten, die nicht innerhalb von sieben Stunden nach Veröffentlichung des Updates auf Drupal-Core 7.32 gebracht oder gepacht wurden, müssen als kompromittiert betrachtet werden. Als konkreter Zeitpunkt gilt der 16. Oktober 2014 um 1 Uhr (bzw. dem 15. Oktober, 23 Uhr UTC).

Update auf Drupal 7.32 nicht ausreichend

Drupals Sicherheitsteam verdeutlicht, dass ein Update auf Version 7.32 nicht ausreichend ist. Wer Drupal 7.32 noch nicht installiert hat, sollte dies umgehend tun. Die ursprüngliche Schwachstelle wird dadurch zwar behoben, einer bereits kompromittierten Webseite ist damit jedoch nicht geholfen. Falls die eigene Seite bereits ein Patch erhalten hat, den keiner der Zugriffsberechtigten initiiert hat, ist das als Symptom für ein infiziertes System zu werten: Manche Angreifer spielen nach dem Eindringen den Patch ein, um sicherzugehen, dass sie allein die Seite kontrollieren.

Von Reparatur wird abgeraten

Betroffene Systeme zu reparieren, erweist sich in den meisten Fällen als schwierig, da Angreifer sich „backdoors“ in den Code, die Datenbank oder das Datenverzeichnis eingebaut haben könnten, um sich einen späteren Zugriff zu ermöglichen. Ob alle dieser Hintertüren aufgedeckt wurden, lässt sich nie gänzlich bestätigen.

Das sollten Drupal-Nutzer jetzt tun:

Das Sicherheitsteam empfiehlt daher, Drupal neu zu installieren oder die betroffene Installation durch eine Sicherung, die vor dem 15. Oktober erstellt wurde, zu ersetzen. Bevor der Server wieder online geht, sollte der Patch unbedingt eingespielt werden. In der Meldung wird dafür diese Anleitung bereitgestellt:

  1. Take the website offline by replacing it with a static HTML page

  2. Notify the server’s administrator emphasizing that other sites or applications hosted on the same server might have been compromised via a backdoor installed by the initial attack

  3. Consider obtaining a new server, or otherwise remove all the website’s files and database from the server. (Keep a copy safe for later analysis.)

  4. Restore the website (Drupal files, uploaded files and database) from backups from before 15 October 2014

  5. Update or patch the restored Drupal core code

  6. Put the restored and patched/updated website back online

  7. Manually redo any desired changes made to the website since the date of the restored backup

  8. Audit anything merged from the compromised website, such as custom code, configuration, files or other artifacts, to confirm they are correct and have not been tampered with.

Leitfaden zur Schadensbegrenzung

Wer Opfer eines Angriffs geworden ist, muss davon ausgehen, dass sämtliche Daten der Seite kopiert wurden und dabei keine Spur der Eindringlinge zurückgeblieben ist. Drupal stellt für diesen Fall noch einen ausführlichen Leitfaden zur Schadensbegrenzung bereit.

Aufmacherbild: CIRCA APRIL 2014 – BERLIN: the logo of the brand „Drupal“, Berlin. via Shutterstock / Urheberrecht: 360b

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -