CMS Drupal: Entwickler schließen Lücke, empfehlen auch Neuinstallation
Die Drupal-Entwickler haben eine als sehr gefährlich eingestufte Sicherheitslücke im beliebten CMS geschlossen, die bereits ausgenutzt wird. Einen Patch einzuspielen bringt Anwendern aber keine absolute Sicherheit. Stattdessen empfehlen die Entwickler die Neuinstallation einer bereits sicheren Version.
Webseiten mit Drupal seit 11. April unter Beschuss
Wer eine Drupal-Installation für seine Web-Präsenz nutzt und diese seit dem 11. April nicht mehr aktualisiert hat, muss laut den Entwicklern mit sehr großer Wahrscheinlichkeit davon ausgehen, dass die auch bei ihm vorhandene Lücke (SA-CORE-2018-004) bereits ausgenutzt wird. Gleichzeitig weisen die Entwickler daraufhin, dass ein reines Update in den meisten Fällen keine ausreichende Gegenmaßnahme ist, da nicht überprüft werden kann, ob die Angreifer in der Zwischenzeit Backdoors angelegt haben, auf die sie natürlich auch nach der Beseitigung der Schwachstelle noch Zugriff besitzen. Darüber hinaus könnten die Angreifer der kompromittierten Seiten in der Zwischenzeit selbst das Update eingespielt haben, um die Besitzer in Sicherheit zu wiegen.
Daher empfehlen die Betreiber am Ende allen Anwendern neben der kompletten Neuinstallation, die in den meisten Fällen mit einem erheblichen Aufwand verbunden ist, zumindest das Einspielen eines Backups, das vor den Angriffen erstellt wurde. Anschließend können die Sicherheitspatches aufgespielt werden. Die Entwickler haben aber auch weitere Vorschläge zusammengetragen.
Großes Gefahrenpotenzial
Über die äußerst kritische Lücke können Angreifer eigenen Code einschleusen und diesen aus der Ferne ausführen. Sie können so das System unter ihre Kontrolle bringen und gegebenenfalls auch Schadcode an andere Nutzer weiter geben. Derartige Angriffe sollen bereits seit Mitte April stattgefunden haben. Verschärft wird die Situation dadurch, dass sich laut Drupal bereits Proof-of-Concept-Exploits im Umlauf befinden.
Für den bereits auf GitHub veröffentlichten Code muss ein Angreifer zwar über Berechtigung im CMS verfügen. Es sollte aber davon ausgegangen werden, dass die Angreifer auch dieses „Problem‟ in der nächsten Zeit in den Griff bekommen werden. Ein automatisierter Angriff ist den Verantwortlichen bisweilen immerhin noch nicht bekannt, dafür müssten für eine erfolgreiche Ausführung zu viele Variablen berücksichtigt werden.
Sofortiges Handeln erforderlich
Wer Drupal einsetzt, sollte die verwendete Versionsnummer überprüfen, lediglich bei den Versionen 7.59, 8.4.8 und 8.5.3 wurde die Sicherheitslücke inzwischen geschlossen, alle älteren Versionen bleiben angreifbar. Für Installationen, welche aus verschiedenen Gründen nicht sofort einer Aktualisierung unterzogen werden können, stellen die Entwickler für die Versionen 7.x und 8.x einen Sicherheitspatch zur Verfügung – dieser setzt jedoch die Installation eines anderen Patches für eine weitere, als sehr kritisch eingestufte Lücke (SA-CORE-2018-002) voraus, die die Drupal-Entwickler bereits Ende des letzten Monats geschlossen haben.