Eine gravierende Sicherheitslücke beim Content Management System Drupal sorgte in den vergangenen Wochen für Schlagzeilen. Seit dem 12. April laufen automatisierte Attacken auf die Schwachstelle, die unter dem Namen „Drupalgeddon 2“ bekannt geworden ist. Nun wurde eine zweite schwerwiegende Lücke entdeckt, die ebenfalls schon angegriffen wird. Nutzer sollten deshalb schnellstmöglich ein weiteres Sicherheitsupdate installieren, um sich gegen einen Exploit, also ein Ausnutzen der Schwachstelle durch Angreifer, zu wehren. Wir haben die wichtigsten Informationen zu den Sicherheitslücken bei dem Open Source-System zusammengetragen und zeigen, was Drupal-Nutzer jetzt tun müssen.

Webseiten, die auf den Drupal-Versionen 6.x, 7.x und 8.x basieren, können von Angreifern mit vergleichsweise geringem Aufwand vollständig übernommen und beliebig verändert werden. Nutzer können also durch erfolgreich ausgeführte Attacken die Kontrolle über die eigene Webseite komplett verlieren. Betroffen von der ursprünglichen Schwachstelle mit dem offiziellen Namen SA-CORE-2018-002 bzw. CVE-2018-7600 sind etwa eine Million Internetseiten. Ähnliches dürfte demzufolge auch für die nun bekannt gewordene zweite Schwachstelle gelten, die offiziell unter SA-CORE-2018-004 bzw. CVE-2018-7602 firmiert.

Das Drupal-Sicherheitsteam hat die Risikobewertung der ursprünglichen Schwachstelle inzwischen von 21 auf 24 von 25 Punkten auf der Skala des NIST Common Misuse Scoring Systems angehoben. Die Sicherheitslücke wird also als „hochkritisch“ eingestuft. Gleiches gilt für die neue Lücke, die mit 20 Punkten bewertet wird.

Drupal-Nutzer müssen handeln

Drupal empfiehlt Nutzern dringend, in jedem Fall schnellstmöglich das Sicherheits-Update zu installieren, das für die ursprüngliche Schwachstelle unter https://www.drupal.org/sa-core-2018-002 abrufbar ist. Für die neue Lücke gibt es ebenfalls ein Update, das unter https://www.drupal.org/sa-core-2018-004 heruntergeladen werden kann. Konkret empfiehlt Drupal seinen Nutzern, Version 7.x auf 7.59, Version 8.5.x auf 8.5.3 und Version 8.4.x auf 8.4.8 zu aktualisieren.

Patches sind auch für ältere Versionen verfügbar, die normalerweise nicht mehr unterstützt werden. Sollte ein Drupal-Partch schon installiert sein, ohne dass man bisher aktiv geworden ist, könnte das ein Hinweis darauf sein, dass ein Angreifer die Seite bereits übernommen hat und durch das Update andere Angreifer ausschließen will.

Angreifer bauen Hintertürchen ein

Heimtückisch an gelungenen Attacken auf Drupal-Webseite ist besonders, dass Nutzer sie möglicherweise gar nicht bemerken, weil die Angreifer keine Spuren hinterlassen. Allen Nutzern, die von einem erfolgreich ausgeführten Angriff auf ihre Seite wissen, bietet Drupal eine Hilfs-Anleitung unter https://www.drupal.org/node/2365547.

Zusätzlich könnten Angreifer bei ihrer Attacke Zugangspunkte zum Beispiel in die Datenbank, den Quellcode oder ins Dateiverzeichnis einbauen, über die sie auch andere auf dem Server befindliche Dienste und Programme schaden können, warnt Drupal. Weil diese „Hintertürchen“ extrem schwierig zu finden sind, wird eine Wiederherstellung einer gehackten Webseite nur empfohlen, wenn sie von einem Backup ausgeht. Ansonsten bleibt geschädigten Nutzern nur, ihre Webseite neu aufzubauen.

Schwachstelle erst spät ausgenutzt

Bei ähnlich gravierenden Sicherheitslücken wie „Drupalgeddon 2“ wird in der Regel schon wenige Stunden oder Tage nach Bekanntgabe der Schwachstelle öffentlich, dass es Angreifern gelungen ist, die Lücke auszunutzen. Im gegenwärtigen Fall wurde jedoch etwa zwei Wochen lang nichts über einen erfolgreichen Exploit bekannt, was angesichts der deutlichen Warnungen ungewöhnlich war und Zweifel hervorrief, ob „Drupalgeddon 2“ seinem Namen gerecht wird und tatsächlich leicht auszunutzen ist. Inzwischen ist leider klar geworden, dass die Warnungen berechtigt waren und es sogar eine weitere Schwachstelle gibt. Drupal-Nutzer sind nun also erst recht zum Handeln gezwungen.