Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar.

In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem.

Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln.

Updates schon seit Ende März verfügbar

Erwartungsgemäß kam es nach der Veröffentlichung von Details zur Lücke  zu  ersten Angriffen,was unter anderem eine Webseite von des Computerherstellers Lenovo traf.

Die Schwachstelle gibt es sowohl in Drupal 7.x als auch in Drupal 8.x. Die Ausgaben ab 7.58 und 8.5.1 sind schon abgesichert. Wegen der Schwere der Sicherheitslücke bekommen selbst die eigentlich nicht mehr vom Support unterstützten Versionen 8.3.x und 8.4.x abgesicherte Versionen (8.3.9 und 8.4.6). Selbst Websites unter Drupal 6 und 8.2.x sind gefährdet. Wer noch eine solche veraltete Version nutzt, sollte dringend auf eine aktuelle updaten. Für Drupal 6 gibt es sogar noch einen inoffiziellen Patch.

Angriffe können über den alleinigen Besuch von verwundbaren Webseiten ausgeführt werden. Nach erfolgreicher Attacke sollen die Angreifer Schadcode ausführen können. In vielen Fällen installierten die Angreifer nach Informationen der Sicherheitsforscher Krypto-Miner auf den Webservern.

Hinweise für gehackte Werbsites

Wenn ihre Drupal-Webseite schon gehackt wurde, finden Sie hilfreiche Hinweise der Entwickler des CMS für diesen Fall. Allerdings sind die Tipps der Entwickler nur in Englisch gehalten.