Schon wieder Drupal: Sicherheitslücke in CKEditor

Der HTML-Editor CKEditor, der seit Drupal-Version 8 fester Bestandteil des Content-Management-Systems ist, weist eine Sicherheitslücke auf, die von den Dupal-Entwicklern als "moderately critical" eingestuft wurde. Sie ermöglicht Angreifern die Durchführung von Cross-Site-Scripting-Angriffen unter Verwendung des <img>-Tags und weiterem speziell präpariertem HTML-Code im Editor.

Von der Lücke betroffen sind alle CKEditor-Versionen ab 4.5.1.1 aufwärts; Version 4.9.2 schließt sie.

Nutzern von Drupal 8 wird empfohlen, auf 8.5.2 oder 8.4.7 umzusteigen, da die Aktualisierungen bereits im CMS-Core enthalten sind. Bei Drupal 7-Nutzern hängt die empfohlene Vorgehensweise von der installierten CKEditor-Version ab – der Sicherheitshinweis der Drupal-Entwickler beschreibt die jeweils notwendigen Schritte.

Drupal im Fokus von Angreifern

Erst vor wenigen Tagen warnten Sicherheitsforscher vor aktuellen Angriffen auf eine andere, als "Drupalgeddon 2" bezeichnete Drupal-Lücke. Sie ermöglicht Angreifern mit vergleichsweise wenig Aufwand die komplette Übernahme verwundbarer Dupal-Webseiten. Zwar stehen bereits seit Ende März Patches bereit. Da diese aber von vielen Nutzern noch immer nicht installiert wurden, nutzen Angreifer Drupalgeddon 2 nach Beobachtungen des SANS Internet Storm Center und des IT-Sicherheitsunternehmens Volexity nun im großen Stil aus.

In den meisten Fällen missbrauchen sie kompromittierte Server zum Schürfen von Kryptowährungen – unter anderem mit Hilfe des quelloffenen Krypto-Mining-Tools XMRig, das bereits in der Vergangenheit zum heimlichen Mining zweckentfremdet wurde. SANS beobachtete außerdem die Installation eines in Perl geschriebenen IRC-Bots und einer PHP-Backdoor, die den Angreifern den Upload beliebigen weiteren Schadcodes ermöglicht. (ovw)