830.000 websites mogelijk gehackt via Drupal-lek
Mogelijk zijn zo'n 830.000 websites gehackt via een ernstig beveiligingslek in het contentmanagementsysteem (CMS) Drupal dat op 15 oktober werd gepatcht en sinds die dag actief wordt gebruikt voor het overnemen van websites waar de update ontbreekt. De eigenaren van deze sites moeten er volgens Drupal in ieder geval van uitgaan dat hun website van een backdoor is voorzien.
Zeven uur na het uitkomen van de beveiligingsupdate vonden de eerste geautomatiseerde aanvallen plaats. Deze week gaf het Drupal-ontwikkelteam vanwege de aanvallen zelfs een aparte waarschuwing af. Daarin stond dat webmasters en beheerders die 7 uur na het verschijnen van de patch die nog niet hadden uitgerold, ervan moeten uitgaan dat hun website gecompromitteerd is.
Drupal 7
Volgens statistieken van Drupal waren er op 19 oktober, vier dagen na het uitkomen van de update, ruim 1,1 miljoen websites die op Drupal draaien. Versie 7.x van het CMS zou door zo'n 953.000 websites worden gebruikt. Op 19 oktober hadden 120.000 van de Drupal 7-sites versie 7.32 geïnstalleerd, die het ernstige lek verhelpt. Dat zou inhouden dat zo'n 833.000 websites vier dagen na het uitkomen van de belangrijke beveiligingsupdate nog steeds kwetsbaar waren.
Er moet wel worden gezegd dat het mogelijk was voor websites om het lek te verhelpen zonder de update naar versie 7.32 te installeren. De statistieken geven echter wel aan dat een groot aantal websites de update mist en hun beheerders ervan moeten uitgaan dat de website is gecompromitteerd. Drupal geeft in dit geval het advies om een back-up van de website van voor 15 oktober terug te zetten.
Nee, dat zou inhouden dat in ieder geval 833.000 websites niet op 7.32 draaien. Welk deel een oudere gepatchte versie is, is moeilijk te zeggen. Vanuit mijn omgeving hoor ik dat de meeste bedrijven gepatchet hebben, ipv geupgrade.
Let er ook op dat die 900K sites rapporteren aan Drupal.org. Niet alle sites doen dat, omdat je het kan uitschakelen.
Je moet dus de toegang tot je site via internet eerst onmogelijk maken, vervolgens een backup herstellen en de update doen, en pas dan de site toegankelijk maken via internet.
Dat is wel de meest gigantische trap tegen een open deur die ik in jaren gezien heb...
Je moet dus de toegang tot je site via internet eerst onmogelijk maken, vervolgens een backup herstellen en de update doen, en pas dan de site toegankelijk maken via internet.
Dat is wel de meest gigantische trap tegen een open deur die ik in jaren gezien heb...
Bij 833.000 websites die op 19 oktober nog niet gepatcht waren blijkt niet iedereen op de hoogte te zijn van dit soort open deuren.
(Nog een open deur: "indien er een kritische update is installeer deze dan meteen".)
Ik houd altijd het principe aan dat een webserver niet vanaf de internet zijde beheerd kan worden.
Maar ja dat is zo handig he, een inlog linkje... ik gebruik 2 interfaces of een VPN.
Verder denk ik dat je dit soort CMS'en niet kunt gebruiken. Ze zijn te onveilig, de code is te slecht.
Dat houdt honderdduizenden niet tegen, maar dat is niet mijn probleem.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
