Drupalgeddon 2: Angreifer attackieren ungepatchte Drupal-Webseiten

Eine als extrem kritisch eingestufte Sicherheitslücke (CVE-2018-7600) im Content Management System (CMS) Drupal steht derzeit unter Beschuss, warnen Sicherheitsforscher von Sucuri. Davon sind die Drupal-Versionen 6 bis 8 bedroht. Mit vergleichsweise wenig Aufwand sollen Angreifer verwundbare Drupal-Webseiten komplett übernehmen können.

Momentan handelt es sich Sucuri zufolge noch um vereinzelte Angriffe. Bislang soll es noch keine Übernahme von Webseiten gegeben haben – das kann sich aber schnell ändern. Admins sollten die seit Ende März verfügbaren Sicherheitspatches schleunigst installieren.

Besuch einer Seite reicht aus

Aufgrund eines Fehlers in der Form API (FAPI) werden Eingaben in manchen Formularen nicht ausreichend überprüft. So könnten Angreifer aus der Ferne ohne Authentifizierung Schadcode auf Drupal-Webseiten ausführen. Das soll Check Point zufolge beispielsweise im E-Mail-Adress-Feld des Registrierungsformulars für neue Nutzer der Fall sein.

Kurz nach Veröffentlichung des Blog-Beitrags von Check Point tauchte Proof-of-Concept-Code eines Sicherheitsforschers auf Github auf. Anschließend beobachtete Sucuri die ersten Angriffsversuche.

Abgesicherte Versionen

Bereits zur Veröffentlichung der abgesicherten Ausgaben 7.58 und 8.5.1 warnten die Drupal-Entwickler vor bald möglichen Attacken. Die Lücke ist so heftig, dass Drupal sogar Sicherheitsupdates für die eigentlich nicht mehr im Support befindlichen Ausgaben 8.3.x und 8.4.x in Form von 8.3.9 und 8.4.6 veröffentlicht hat. Auch Drupal 6 und 8.2.x sind bedroht. Wer eine dieser veralteten Versionen einsetzt, muss auf eine aktuelle updaten, raten die Entwickler. Für Drupal 6 gibt es noch einen inoffiziellen Patch. (des)