Drupalgeddon 2: Immer noch über 115.000 Drupal-Webseiten verwundbar

Noch immer gibt es tausende Drupal-Webseiten, die über eine kritische Lücke angreifbar sind. Sicherheitsupdates sind seit über zwei Monaten verfügbar.

In Pocket speichern vorlesen Druckansicht 16 Kommentare lesen
Drupalgeddon 2: Immer noch über 115.000 Drupal-Webseiten verwundbar
Lesezeit: 2 Min.

Sicherheitsforscher von Bad Pockets Report sind auf mehr als 115.000 Drupal-Webseiten gestoßen, die anfällig für Angriffe auf eine kritische Sicherheitslücke (CVE-2018-7600) sind. Das geht aus einem Blogeintrag hervor. Die Schwachstelle ist seit Ende März bekannt – zu diesem Zeitpunkt erschienen auch Sicherheitspatches.

Die Sicherheitsforscher haben eigenen Angaben zufolge 500.000 Drupal-Webseiten untersucht, die die Ausgabe 7 des Content Management Systems (CMS) einsetzen. Davon war etwa ein Viertel verwundbar. Rund 28 Prozent hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent konnten die Sicherheitsforscher die eingesetzte Drupal-Version nicht ermitteln.

Unter den verwundbaren Webseiten finden sich Bad Pockets Report zufolge einige aus dem Top 1 Million Ranking von Alexa. Beispielsweise von Bildungs-Einrichtungen und Regierungsorganisationen aus den USA. Die Liste mit betroffenen Seiten ist nicht öffentlich. Die Sicherheitsforscher haben sie eigenen Angaben zufolge weltweit verschiedenen CERTs mitgeteilt.

Nach der Veröffentlichung von Details zur Lücke, kam es zu ersten Angriffen. Dabei erwischte es unter anderem eine Webseite von Lenovo. Die Schwachstelle klafft in Drupal 7.x und 8.x. Abgesichert sind die Ausgaben ab 7.58 und 8.5.1. Aufgrund des Schweregrades der Lücke bekommen auch die eigentlich nicht mehr im Support befindlichen Versionsstränge 8.3.x und 8.4.x abgesicherte Versionen (8.3.9 und 8.4.6). Auch Drupal 6 und 8.2.x sind bedroht. Wer eine dieser veralteten Versionen einsetzt, muss auf eine aktuelle updaten, raten die Entwickler. Für Drupal 6 gibt es noch einen inoffiziellen Patch.

Angriffe sollen sich über den alleinigen Besuch von verwundbaren Webseiten einleiten lassen. Ist eine Attacke erfolgreich, sollen Angreifer Schadcode ausführen können. In vielen Fällen haben sie Krypto-Miner auf Web-Servern hinterlegt, berichten verschiedene Sicherheitsforscher.

Wessen Drupal-Webseite bereits gehackt wurde, der sollte die Hinweise der Entwickler des CMS für diesen Fall befolgen. (des)