Drupal-Lücke mit dramatischen Folgen

Nur wenige Stunden, nachdem das Drupal-Team am 15. Oktober eine hochkritische Sicherheitslücke in ihrem Content-Management-System geschlossen hatte, begannen automatisierte Angriffe auf die noch ungepatchten Server. Das Drupal-Security-Team hat deshalb am heutigen Mittwoch erneut ein Advisory zu dieser Lücke herausgegeben, das eine sehr klare Empfehlung enthält: Alle Drupal-7-Installationen, die nicht innerhalb von sieben Stunden nach Veröffentlichung des Patches abgesichert wurden, sind als kompromittiert zu betrachten. Bis 16. Oktober 2014 um 1 Uhr deutscher Ortszeit (11pm UTC am Vortag) gab es anscheinend noch keine Angriffe. Betroffen ist nur der 7er Versionszweig, Abhilfe hätte ein rechtzeitiges Update auf Version 7.32 geschafft. Für ältere 7er Versionen gibt es einen Patch.

Das Security-Team weist darauf hin, dass nachträgliches Absichern nicht gegen Infektionen hilft. Wer bemerkt, dass seine Drupal-Installation fremdgesteuert auf den aktuellen Stand gebracht wurde, ist vermutlich bereits einem Angriff zum Opfer gefallen: Manche Eindringlinge installieren nach ihrer Infektion das Sicherheits-Update selbst, um das Einfallstor hinter sich zu schließen und andere Angreifer draußen zu halten. Drupal-Betreiber müssen davon ausgehen, dass die Täter alle auf dem Server gespeicherten Daten kopiert haben und missbrauchen werden. Die Lücke ermöglicht eine SQL-Injection. Angreifer können ohne Authentifizierung mit einem einzelnen POST-Request beliebige SQL-Kommandos ausführen und so die komplette Webseite übernehmen.

Drupals Sicherheitsteam rät, die Installation aus der Schusslinie zu nehmen und zu sichern. Anschließend soll man ein Backup auf den Server spielen, das vor dem 15. Oktober 2014 erstellt wurde und die Lücke durch das Update auf Version 7.32 oder den Patch schließen. Bevor man mit Drupal wieder ans Netz geht, sind noch die Passwörter zu ändern und die gewünschten Änderungen manuell aus dem Anfangs erzeugten Backup zu übertragen. (rei)