{"id":203420,"date":"2018-04-18T01:52:00","date_gmt":"2018-04-17T23:52:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=203420"},"modified":"2022-04-05T05:39:17","modified_gmt":"2022-04-05T03:39:17","slug":"drupal-cms-patchen-lcke-wird-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/04\/18\/drupal-cms-patchen-lcke-wird-ausgenutzt\/","title":{"rendered":"Drupal CMS patchen, L&uuml;cke wird ausgenutzt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Wer ein Content Management System (CMS) mit Drupal betreibt, sollte sicherstellen, dass\u00a0 dieses auf dem aktuellen Patch-Level ist. Angreifer nutzen eine bekannt gewordene Sicherheitsl\u00fccke, um Drupal-Webseiten anzugreifen.<\/p>\n<p><!--more--><\/p>\n<h2>Remote Code Execution-L\u00fccke in Drupal<\/h2>\n<p>Bei Drupal 7.x und 8.x wurde im M\u00e4rz 2018 eine extrem kritische Schwachstelle (CVE-2018-7600) entdeckt, die eine Remote Code Execution erm\u00f6glicht. Am 28. M\u00e4rz 2018 haben die Entwickler dann Updates zum Schlie\u00dfen der Sicherheitsl\u00fccke bereitgestellt.<\/p>\n<ul>\n<li><strong>Drupal 7.x: <\/strong>Ein Update auf Drupal 7.58 ist verf\u00fcgbar<strong>.<\/strong> Wer nicht aktualisieren kann, f\u00fcr den steht <a href=\"https:\/\/web.archive.org\/web\/20180404163042\/https:\/\/cgit.drupalcode.org\/drupal\/rawdiff\/?h=7.x&amp;id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Patch<\/a> zum Schlie\u00dfen der Sicherheitsl\u00fccke bereit.<\/li>\n<li><strong>Drupal 8.5.x: <\/strong>Ein Update auf Drupal 8.5.1 ist verf\u00fcgbar<strong>.<\/strong> Wer nicht aktualisieren kann, f\u00fcr den steht <a href=\"https:\/\/web.archive.org\/web\/20180623101452\/https:\/\/cgit.drupalcode.org\/drupal\/rawdiff\/?h=8.5.x&amp;id=5ac8738fa69df34a0635f0907d661b509ff9a28f\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Patch<\/a> zum Schlie\u00dfen der Sicherheitsl\u00fccke bereit<strong>.<\/strong><\/li>\n<\/ul>\n<p>Drupal 8.3.x und 8.4.x werden nicht mehr unterst\u00fctzt und normalerweise stellen die Entwickler keine Sicherheitsversionen f\u00fcr nicht unterst\u00fctzte Minor Releases zur Verf\u00fcgung. Angesichts der potenziellen Schwere dieses Problems bieten die Drupal-Entwickler jedoch die Versionen 8.3.x und 8.4.x an, die den Fix f\u00fcr Websites enthalten, die noch keine M\u00f6glichkeit hatten, auf 8.5.0 zu aktualisieren. Im Drupal Security Advisory finden sich weitere Details. Auch auf seclists.org findet sich <a href=\"http:\/\/seclists.org\/bugtraq\/2018\/Mar\/80\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Beitrag<\/a> zum Thema und heise.de hatte in <a href=\"https:\/\/www.heise.de\/security\/meldung\/Sicherheitsupdate-fuer-extrem-kritische-Luecke-in-Drupal-ist-da-4008279.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> \u00fcber diese Sicherheitsupdates berichtet.<\/p>\n<h2>Sicherheitsl\u00fccke in Drupal wird ausgenutzt<\/h2>\n<p>Seit die Sicherheitsl\u00fccke bekannt ist, haben Cyberkriminelle damit begonnen, diese auszunutzen, um Drupal-Seiten zu \u00fcbernehmen. Daniel Cid vom Sicherheitsspezialisten Sucuri meldet in <a href=\"https:\/\/twitter.com\/danielcid\/status\/984555586644688898\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Tweet<\/a>, dass konkret Angriffe auf Drupal Webseiten festgestellt werden.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">We are seeing attempts for the Drupal RCE (CVE-2018-7600) in the wild now: <a href=\"https:\/\/t.co\/1tfpH08Ohb\">https:\/\/t.co\/1tfpH08Ohb<\/a><\/p>\n<p>Expect that to grow with the new exploits being shared publicly:<a href=\"https:\/\/t.co\/V1C0E5hi4W\">https:\/\/t.co\/V1C0E5hi4W<\/a><\/p>\n<p>Also, good read from from CheckPoint explaining it:<a href=\"https:\/\/t.co\/iD44ZRjOtG\">https:\/\/t.co\/iD44ZRjOtG<\/a><\/p>\n<p>Patch now!<\/p>\n<p>\u2014 Daniel Cid (@danielcid) <a href=\"https:\/\/twitter.com\/danielcid\/status\/984555586644688898?ref_src=twsrc%5Etfw\">12. April 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Das Ganze hat den Namen Drupalgeddon 2 erhalten und wird von Check Point <a href=\"https:\/\/web.archive.org\/web\/20190930214029\/https:\/\/research.checkpoint.com\/uncovering-drupalgeddon-2\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> beschrieben. Betreiber von Drupal-Seiten sollten daher schnellstm\u00f6glich die Sicherheitsupdates einspielen. Falls jemand betroffen ist, bei heise.de <a href=\"https:\/\/www.heise.de\/security\/meldung\/Drupalgeddon-2-Angreifer-attackieren-ungepatchte-Drupal-Webseiten-4024700.html\" target=\"_blank\" rel=\"noopener noreferrer\">finden sich<\/a> noch einige Informationen.<\/p>\n<p>Erg\u00e4nzung: Inzwischen sind weitere F\u00e4lle bekannt geworden, in denen ungepatchte Drupal-Seiten erfolgreich angegriffen wurden. Die Angreifer installieren u.a. Crypto-Miner auf den Sites. Details sind in <a href=\"https:\/\/web.archive.org\/web\/20220119114825\/https:\/\/www.bleepingcomputer.com\/news\/security\/big-iot-botnet-starts-large-scale-exploitation-of-drupalgeddon-2-vulnerability\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Bleeping Computer-Beitrag<\/a> nachzulesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wer ein Content Management System (CMS) mit Drupal betreibt, sollte sicherstellen, dass\u00a0 dieses auf dem aktuellen Patch-Level ist. Angreifer nutzen eine bekannt gewordene Sicherheitsl\u00fccke, um Drupal-Webseiten anzugreifen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185],"tags":[3729,4328,4315],"class_list":["post-203420","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","tag-drupal","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203420","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=203420"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203420\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=203420"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=203420"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=203420"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}