Websites auf ungepatchtem Drupal 7 kompromittiert

Laut einer Erklärung des technischen Supports von Drupal müssen Inhaber von Websites, die die kürzlich geschlossene kritische Sicherheitslücke im Kernel dieses Content Management Systems nicht gepatcht haben, ihre Sites als kompromittiert betrachten.

Diese Schwachstelle, die am 15. Oktober bekannt wurde, ermöglicht SQL-Einschleusungen – es ist Ironie des Schicksals, dass sie ausgerechnet in dem Modul von Drupal entdeckt wurde, das für einen verbesserten Schutz vor SQLi-Attacken sorgen soll. Cyberkriminelle begannen diese Lücke fast sofort nach ihrer Veröffentlichung auszunutzen, und zwar mit automatisierten Mitteln. Das Problem wird dadurch verschärft, dass in diesem Fall jeder unautorisierte Nutzer eine Website kompromittieren kann und es praktisch unmöglich ist, eine solche Attacke auszunutzen.

„Automatisierte Attacken zum Zwecke der Kompromittierung von Websites auf Drupal 7, die nicht rechtzeitig gepatcht oder auf Drupal 7.32 aktualisiert wurden, begannen nur wenige Stunden nach der Veröffentlichung des Bulletins SA-CORE-2014-005 – Drupal core – SQL injection“, heißt es in der Erklärung von Drupal. „Man muss davon ausgehen, dass alle Websites, die Drupal 7 verwenden, kompromittiert sind, wenn ihre Besitzer es nicht geschafft haben, am 15. Oktober bis 23:00 Uhr UTC ein Patch oder Update zu installieren, d.h. also innerhalb der ersten sieben Stunden nach der Bekanntmachung der Schwachstelle.“

Das Exploit zu dieser Sicherheitslücke wird mit automatisierten Mitteln umgesetzt; in einigen Fällen wird auf dem kompromittierten System eine Backdoor geöffnet und ein Patch installiert, um Angriffe von Konkurrenten zu verhindern. „Wenn Sie ein Patch entdecken, das Sie nicht installiert haben, so wurde Ihre Site kompromittiert: Dieses Patch wurde im Rahmen eines Angriffs installiert, es garantiert Cyberkriminellen die unbegrenzte Kontrolle über die Site“, erklärt das Sicherheitsteam von Drupal.

„Die Angreifer haben sich möglicherweise einen Zugriffspunkt (manchmal auch „Backdoor“ genannt) auf die Datenbank, den Code, das Dateiverzeichnis und andere Orte geschaffen“, heißt es weiter in der Erklärung. „Das ermöglicht es ihnen, andere Dienste zu kompromittieren oder den Zugriff zu erweitern. Eine kompromittierte Website von Backdoors zu säubern, ist nicht einfach, da man sich unter Umständen nicht sicher sein kann, dass alle gefunden wurden.“

Wenn der Besitzer einer Website es nicht geschafft hat, das Patch sofort nach Veröffentlichung der Sicherheitslücke zu installieren, empfehlen die Sicherheitsexperten von Drupal, das System aus seinem vertrauenswürdigen Backup wiederherzustellen. „Das Drupal-Sicherheitsteam empfiehlt, den Hosting-Provider zu konsultieren”, heißt es in der Erklärung. „Wenn er in den ersten paar Stunden nach Bekanntgabe der Sicherheitslücke (15. Oktober, 16:00 UTC) Drupal nicht gepatcht und keine anderen Maßnahmen zur Vermeidung von SQL-Einschleusungen ergriffen hat, stellen Sie Ihre Site aus einem Backup früheren Datums wieder her.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.