Mogelijk zijn zo'n 830.000 websites gehackt via een ernstig beveiligingslek in het contentmanagementsysteem (CMS) Drupal dat op 15 oktober werd gepatcht en sinds die dag actief wordt gebruikt voor het overnemen van websites waar de update ontbreekt. De eigenaren van deze sites moeten er volgens Drupal in ieder geval van uitgaan dat hun website van een backdoor is voorzien.
Zeven uur na het uitkomen van de beveiligingsupdate vonden de eerste geautomatiseerde aanvallen plaats. Deze week gaf het Drupal-ontwikkelteam vanwege de aanvallen zelfs een aparte waarschuwing af. Daarin stond dat webmasters en beheerders die 7 uur na het verschijnen van de patch die nog niet hadden uitgerold, ervan moeten uitgaan dat hun website gecompromitteerd is.
Volgens statistieken van Drupal waren er op 19 oktober, vier dagen na het uitkomen van de update, ruim 1,1 miljoen websites die op Drupal draaien. Versie 7.x van het CMS zou door zo'n 953.000 websites worden gebruikt. Op 19 oktober hadden 120.000 van de Drupal 7-sites versie 7.32 geïnstalleerd, die het ernstige lek verhelpt. Dat zou inhouden dat zo'n 833.000 websites vier dagen na het uitkomen van de belangrijke beveiligingsupdate nog steeds kwetsbaar waren.
Er moet wel worden gezegd dat het mogelijk was voor websites om het lek te verhelpen zonder de update naar versie 7.32 te installeren. De statistieken geven echter wel aan dat een groot aantal websites de update mist en hun beheerders ervan moeten uitgaan dat de website is gecompromitteerd. Drupal geeft in dit geval het advies om een back-up van de website van voor 15 oktober terug te zetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.