Het contentmanagementsysteem (CMS) Drupal heeft websites gewaarschuwd voor actieve aanvallen op een ernstig lek dat twee weken geleden in de software werd gepatcht en waardoor alle niet gepatchte sites er nu van moeten uitgaan dat ze zijn gecompromitteerd.
De kwetsbaarheid maakte het uitvoeren van SQL Injection mogelijk, waardoor een aanvaller zijn rechten op de website kon verhogen en willekeurige PHP-code en andere aanvallen kon uitvoeren. Slechts een aantal uren nadat de aankondiging van het lek en de bijbehorende beveiligingsupdate online verschenen werden de eerste geautomatiseerde aanvallen waargenomen.
Drupal adviseert websites om direct naar versie 7.32 te upgraden als dat nog niet is gedaan, maar benadrukt dat dit een al eventueel aanwezige backdoor niet verhelpt. Daarnaast moeten websites controleren of ze zelf de beveiligingsupdate hebben geïnstalleerd. Sommige aanvallers hebben de gehackte websites namelijk zelf gepatcht waardoor andere aanvallers die niet meer kunnen overnemen.
Een andere mogelijkheid is dat aanvallers backdoors in de database, code, bestanden, directory of op andere locaties hebben achtergelaten. "Het verwijderen van backdoors op een gehackte pagina is moeilijk omdat het niet mogelijk is om er zeker van te zijn dat alle backdoors zijn gevonden", aldus het Drupal-ontwikkelteam. Websites krijgen dan ook het advies om een back-up van voor 15 oktober terug te plaatsen. Drupal wordt door meer dan 1 miljoen websites gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.