Minstens 115.000 Drupal-websites bevatten een zeer ernstig beveiligingslek waardoor aanvallers de websites volledig kunnen overnemen. Dat meldt Troy Mursch van Bad Packets Report. De kwetsbaarheid werd eind maart gepatcht. Twee weken na het uitkomen van de beveiligingsupdate werden ongepatchte Drupal-sites aangevallen.
Onderzoekers stelden dat alle ongepatchte sites op dat moment als gehackt beschouwd moesten worden. Ondanks het belang van de beveiligingsupdate en berichtgeving over aangevallen websites zijn er nog altijd veel ongepatchte Drupal-sites te vinden. Voor het onderzoek keek Mursch alleen naar Drupal 7-sites. Dit is de populairste versie van het contentmanagementsysteem. Er zijn echter ook zo'n 215.000 Drupal-sites die op versie 8 draaien. Deze versie was ook kwetsbaar, maar websites met Drupal 8 zijn niet voor het onderzoek gescand.
In totaal vond Mursch bijna 500.000 Drupal 7-sites. 115.000 waren kwetsbaar omdat ze de belangrijke beveiligingsupdate van maart niet hadden geïnstalleerd. Zo'n 135.000 websites waren niet kwetsbaar. Van 225.000 Drupal-sites kon niet worden vastgesteld welke versie ze gebruikten. Mursch heeft besloten de websites niet openbaar te maken. Het zou in ieder geval gaan om overheids- en onderwijssites. Het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) en het Drupal Security Team hebben het overzicht van kwetsbare websites wel ontvangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.