Sicherheitslücke: Warnung vor kompromittierten Drupal-Installationen
Am 15. Oktober wurde in Drupal eine schwerwiegende Lücke geschlossen und ein Patch auf Drupal 7.32 bereitgestellt. Sofort nach Bekanntwerden der Lücke setzte eine Angriffswelle auf noch nicht aktualisierte Installationen ein, die jetzt das Sicherheitsteam zu einer ausdrücklichen Warnung veranlasste.
Das Content Management System Drupal blieb von Sicherheitsproblemen in der Vergangenheit nicht verschont. Wurden im Mai 2013 bei einem Einbruch in einem der Projektserver fast eine Million Anwenderdaten entwendet, so musste das Sicherheitsteam am 15. Oktober eine gravierende Lücke schließen. Der Fehler, der SQL-Injections ohne Autorisierung erlaubt, ermöglicht kompletten Zugriff auf die Datenbank und dort verwaltete Webseiten, die dann mit Malware infiziert werden können.
Auf das am 15. Oktober veröffentlichte Security Advisory, das einen Patch bereitstellte, folgte innerhalb weniger Stunden eine Angriffswelle auf noch nicht aktualisierte Drupal-Instanzen. Die jetzt veröffentlichte Warnung macht darauf aufmerksam, dass Installationen, die nicht bis 1 Uhr am 16.10.2014 aktualisiert wurden, als kompromittiert betrachtet werden müssen. Auch Systeme, die aktualisiert sind, ohne dass der Betreiber dies veranlasst hat, könnten infiziert sein, da manche Angreifer das System hinter sich aktualisiert haben um weitere Angreifer abzuhalten.
Infizierte Systeme gefährden nicht nur darauf gehostete Webseiten sondern unter Umständen auch weitere Webseiten auf anderen Servern. Von einer Reparatur betroffener Systeme raten die Sicherheitsexperten ab, da unentdeckte Hintertüren verbleiben könnten. Abhilfe bietet nur ein erneutes Aufsetzen oder das Einspielen einer Sicherung, die vor dem 15.10.2014 erstellt wurde. Hierbei muss die Aktualisierung auf Drupal 7.32 eingespielt werden, bevor der Server wieder online geht. Zudem müssen alle Passwörter zurückgesetzt werden.
Die Lücke war bereits seit rund einem Jahr bekannt, das Potenzial wurde allerdings nicht erkannt. Erst ein Code-Audit, den ein Drupal-Kunde von einem externen Sicherheitsunternehmen vornehmen ließ, offenbarte die Gefahr.