image

Drupal waarschuwt websites voor aanvallen op ernstig lek

donderdag 30 oktober 2014, 09:57 door Redactie, 8 reacties

Het contentmanagementsysteem (CMS) Drupal heeft websites gewaarschuwd voor actieve aanvallen op een ernstig lek dat twee weken geleden in de software werd gepatcht en waardoor alle niet gepatchte sites er nu van moeten uitgaan dat ze zijn gecompromitteerd.

De kwetsbaarheid maakte het uitvoeren van SQL Injection mogelijk, waardoor een aanvaller zijn rechten op de website kon verhogen en willekeurige PHP-code en andere aanvallen kon uitvoeren. Slechts een aantal uren nadat de aankondiging van het lek en de bijbehorende beveiligingsupdate online verschenen werden de eerste geautomatiseerde aanvallen waargenomen.

Drupal adviseert websites om direct naar versie 7.32 te upgraden als dat nog niet is gedaan, maar benadrukt dat dit een al eventueel aanwezige backdoor niet verhelpt. Daarnaast moeten websites controleren of ze zelf de beveiligingsupdate hebben geïnstalleerd. Sommige aanvallers hebben de gehackte websites namelijk zelf gepatcht waardoor andere aanvallers die niet meer kunnen overnemen.

Backdoor

Een andere mogelijkheid is dat aanvallers backdoors in de database, code, bestanden, directory of op andere locaties hebben achtergelaten. "Het verwijderen van backdoors op een gehackte pagina is moeilijk omdat het niet mogelijk is om er zeker van te zijn dat alle backdoors zijn gevonden", aldus het Drupal-ontwikkelteam. Websites krijgen dan ook het advies om een back-up van voor 15 oktober terug te plaatsen. Drupal wordt door meer dan 1 miljoen websites gebruikt.

Reacties (8)
30-10-2014, 12:44 door Anoniem
OK, dus er is een probleem en wat nu? Gillend rond gaan rennen? Website uit de lucht halen, alles weggooien en opnieuw beginnen met Drupal 7.32? Iets meer advies zou wel prettig zijn. Een backup van 15 oktober terugplaatsen garandeert ook nog niet alles, want voordat het lek breed bekend werd gemaakt was het ook al aanwezig. Dus ook de spullen van voor 15 oktober kunnen al gecompromitteerd zijn. Hoe stel je dat vast?
30-10-2014, 13:22 door PietdeVries
Tweakers.net had ook een item over dit probleem. Wat me daar in opviel was dat Drupal zelf aangaf dat als je niet binnen 7 uur na uitkomen van de patch (!!) deze had geinstalleerd, je beter maar helemaal overnieuw kon beginnen. Er is op zo'n grote schaal gescand en ge-exploit dat je 7 uur na bekendmaken al een kans van bijna 100 % had om gecompromitteerd te zijn...

http://tweakers.net/nieuws/99347/drupal-waarschuwt-voor-misbruik-ernstig-beveiligingslek.html
30-10-2014, 13:43 door Anoniem
De eerste exploits werden na 7 uren gezien. Dat wil niet zeggen dat alle sites op dat moment al geraakt waren. Bij een site bv zag ik de eerste aanval pas na 20 uren.
30-10-2014, 15:47 door Anoniem
Ik zie geen enkele aanvalspoging. Doorgaans zijn er ook sporen te vinden, en die zijn er ook niet (geen extra accounts, geen extra files, etc.).
31-10-2014, 10:01 door [Account Verwijderd]
[Verwijderd]
31-10-2014, 15:59 door Anoniem
Door Krakatau:
Dat is echt verontrustend! Ik ga misschien toch maar overstappen op Wordpress of zelfs op kale HTML.
Wordpress is qua code een nog grotere spaghetti zooi dan Drupal. Wil je dit soort ellende voorkomen, richt je dan op een CMS / framework dat beveiliging wel serieus neemt.
03-11-2014, 00:57 door Anoniem
Door Anoniem:
Door Krakatau:
Dat is echt verontrustend! Ik ga misschien toch maar overstappen op Wordpress of zelfs op kale HTML.
Wordpress is qua code een nog grotere spaghetti zooi dan Drupal. Wil je dit soort ellende voorkomen, richt je dan op een CMS / framework dat beveiliging wel serieus neemt.

Zoals ? Kun je voorbeeld(en) geven ?
11-11-2014, 15:13 door Anoniem
blijf het vreemd vinden dat er wel een patch is maar dat er geen controle mogelijkheid is om te checken of de boef nog binnen zit.
Kortom de sloten worden vervangen maar we weten niet of de boef nog binnen is
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.