Wer ein Content Management System (CMS) mit Drupal betreibt, sollte sicherstellen, dass dieses auf dem aktuellen Patch-Level ist. Angreifer nutzen eine bekannt gewordene Sicherheitslücke, um Drupal-Webseiten anzugreifen.
Anzeige
Remote Code Execution-Lücke in Drupal
Bei Drupal 7.x und 8.x wurde im März 2018 eine extrem kritische Schwachstelle (CVE-2018-7600) entdeckt, die eine Remote Code Execution ermöglicht. Am 28. März 2018 haben die Entwickler dann Updates zum Schließen der Sicherheitslücke bereitgestellt.
- Drupal 7.x: Ein Update auf Drupal 7.58 ist verfügbar. Wer nicht aktualisieren kann, für den steht dieser Patch zum Schließen der Sicherheitslücke bereit.
- Drupal 8.5.x: Ein Update auf Drupal 8.5.1 ist verfügbar. Wer nicht aktualisieren kann, für den steht dieser Patch zum Schließen der Sicherheitslücke bereit.
Drupal 8.3.x und 8.4.x werden nicht mehr unterstützt und normalerweise stellen die Entwickler keine Sicherheitsversionen für nicht unterstützte Minor Releases zur Verfügung. Angesichts der potenziellen Schwere dieses Problems bieten die Drupal-Entwickler jedoch die Versionen 8.3.x und 8.4.x an, die den Fix für Websites enthalten, die noch keine Möglichkeit hatten, auf 8.5.0 zu aktualisieren. Im Drupal Security Advisory finden sich weitere Details. Auch auf seclists.org findet sich dieser Beitrag zum Thema und heise.de hatte in diesem Artikel über diese Sicherheitsupdates berichtet.
Sicherheitslücke in Drupal wird ausgenutzt
Seit die Sicherheitslücke bekannt ist, haben Cyberkriminelle damit begonnen, diese auszunutzen, um Drupal-Seiten zu übernehmen. Daniel Cid vom Sicherheitsspezialisten Sucuri meldet in diesem Tweet, dass konkret Angriffe auf Drupal Webseiten festgestellt werden.
We are seeing attempts for the Drupal RCE (CVE-2018-7600) in the wild now: https://t.co/1tfpH08Ohb
Expect that to grow with the new exploits being shared publicly:https://t.co/V1C0E5hi4W
Also, good read from from CheckPoint explaining it:https://t.co/iD44ZRjOtG
Patch now!
— Daniel Cid (@danielcid) 12. April 2018
Anzeige
Das Ganze hat den Namen Drupalgeddon 2 erhalten und wird von Check Point hier beschrieben. Betreiber von Drupal-Seiten sollten daher schnellstmöglich die Sicherheitsupdates einspielen. Falls jemand betroffen ist, bei heise.de finden sich noch einige Informationen.
Ergänzung: Inzwischen sind weitere Fälle bekannt geworden, in denen ungepatchte Drupal-Seiten erfolgreich angegriffen wurden. Die Angreifer installieren u.a. Crypto-Miner auf den Sites. Details sind in diesem Bleeping Computer-Beitrag nachzulesen.
Anzeige
