image

830.000 websites mogelijk gehackt via Drupal-lek

zondag 2 november 2014, 16:30 door Redactie, 10 reacties

Mogelijk zijn zo'n 830.000 websites gehackt via een ernstig beveiligingslek in het contentmanagementsysteem (CMS) Drupal dat op 15 oktober werd gepatcht en sinds die dag actief wordt gebruikt voor het overnemen van websites waar de update ontbreekt. De eigenaren van deze sites moeten er volgens Drupal in ieder geval van uitgaan dat hun website van een backdoor is voorzien.

Zeven uur na het uitkomen van de beveiligingsupdate vonden de eerste geautomatiseerde aanvallen plaats. Deze week gaf het Drupal-ontwikkelteam vanwege de aanvallen zelfs een aparte waarschuwing af. Daarin stond dat webmasters en beheerders die 7 uur na het verschijnen van de patch die nog niet hadden uitgerold, ervan moeten uitgaan dat hun website gecompromitteerd is.

Drupal 7

Volgens statistieken van Drupal waren er op 19 oktober, vier dagen na het uitkomen van de update, ruim 1,1 miljoen websites die op Drupal draaien. Versie 7.x van het CMS zou door zo'n 953.000 websites worden gebruikt. Op 19 oktober hadden 120.000 van de Drupal 7-sites versie 7.32 geïnstalleerd, die het ernstige lek verhelpt. Dat zou inhouden dat zo'n 833.000 websites vier dagen na het uitkomen van de belangrijke beveiligingsupdate nog steeds kwetsbaar waren.

Er moet wel worden gezegd dat het mogelijk was voor websites om het lek te verhelpen zonder de update naar versie 7.32 te installeren. De statistieken geven echter wel aan dat een groot aantal websites de update mist en hun beheerders ervan moeten uitgaan dat de website is gecompromitteerd. Drupal geeft in dit geval het advies om een back-up van de website van voor 15 oktober terug te zetten.

Reacties (10)
02-11-2014, 20:06 door Anoniem
Tja, het blijven gewilde objecten die Wordpress/Drupal/Joomla CMS systemen. Als er 1 lek gevonden is dan heb je zo de beschikking over tien/honderduizenden websites.
02-11-2014, 21:35 door [Account Verwijderd] - Bijgewerkt: 02-11-2014, 21:38
[Verwijderd]
02-11-2014, 22:15 door Anoniem
"Dat zou inhouden dat zo'n 833.000 websites vier dagen na het uitkomen van de belangrijke beveiligingsupdate nog steeds kwetsbaar waren."

Nee, dat zou inhouden dat in ieder geval 833.000 websites niet op 7.32 draaien. Welk deel een oudere gepatchte versie is, is moeilijk te zeggen. Vanuit mijn omgeving hoor ik dat de meeste bedrijven gepatchet hebben, ipv geupgrade.

Let er ook op dat die 900K sites rapporteren aan Drupal.org. Niet alle sites doen dat, omdat je het kan uitschakelen.
02-11-2014, 23:16 door Anoniem
Door Krakatau:
Je moet dus de toegang tot je site via internet eerst onmogelijk maken, vervolgens een backup herstellen en de update doen, en pas dan de site toegankelijk maken via internet.

Dat is wel de meest gigantische trap tegen een open deur die ik in jaren gezien heb...
03-11-2014, 08:43 door [Account Verwijderd] - Bijgewerkt: 03-11-2014, 08:44
[Verwijderd]
03-11-2014, 09:09 door [Account Verwijderd]
[Verwijderd]
03-11-2014, 10:18 door Anoniem
Door Krakatau:
Door Anoniem:
Door Krakatau:
Je moet dus de toegang tot je site via internet eerst onmogelijk maken, vervolgens een backup herstellen en de update doen, en pas dan de site toegankelijk maken via internet.

Dat is wel de meest gigantische trap tegen een open deur die ik in jaren gezien heb...

Bij 833.000 websites die op 19 oktober nog niet gepatcht waren blijkt niet iedereen op de hoogte te zijn van dit soort open deuren.

(Nog een open deur: "indien er een kritische update is installeer deze dan meteen".)

Ik houd altijd het principe aan dat een webserver niet vanaf de internet zijde beheerd kan worden.
Maar ja dat is zo handig he, een inlog linkje... ik gebruik 2 interfaces of een VPN.
Verder denk ik dat je dit soort CMS'en niet kunt gebruiken. Ze zijn te onveilig, de code is te slecht.
Dat houdt honderdduizenden niet tegen, maar dat is niet mijn probleem.
03-11-2014, 11:11 door [Account Verwijderd] - Bijgewerkt: 03-11-2014, 11:12
[Verwijderd]
03-11-2014, 12:13 door Anoniem
Als je nu (gewone thuisgebruiker) zo'n besmette website hebt bezocht, wat zou je dan zoal moeten merken aan je PC (OS) ?
04-11-2014, 13:32 door [Account Verwijderd] - Bijgewerkt: 04-11-2014, 13:32
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.