CVE-2018-7600: Kritische Drupal-Lücke wird ausgenutzt
Wer seine Drupal-Installation noch nicht gepatcht hat, soll dies spätestens jetzt nachholen. Nach der Veröffentlichung weiterer Details und einem auf Twitter zirkulierenden Exploit-Code wurden erste Angriffe beobachtet.
Die als extrem kritisch eingestufte Sicherheitslücke im Content-Management-System Drupal wird nach Angaben der Sicherheitsfirma Sucuri ausgenutzt. Wer noch eine ungepatchte Drupal-Instanz nutzt, sollte unbedingt patchen. Verwundbar sind die Versionen 6 bis 8, das Team hatte sogar einige nicht mehr gepatchte Versionen mit einem Update versorgt. Die abgesicherten Versionen haben die Releasenummern 7.58 und 8.5.1.
Der Patch für das Problem war bereits Ende März veröffentlicht worden. Vor einigen Tagen war auf Twitter ein recht kurzer Exploit-String aufgetaucht, der die Ausnutzung der Sicherheitslücke ermöglicht. Das Problem hat die CVE-Nummer 2018-7600 und ermöglicht die Ausführung von Code aus der Ferne (Remote Code Execution, RCE).
Check Point veröffentlicht Details
Check Point hat ebenfalls in der vergangenen Woche Details zu der Lücke bekanntgegeben. Demnach liegt das Problem in der Drupal Form API (Fapi), die mit der Version 6 erstmals eingeführt wurde. Die Eingaben wurden jedoch nicht korrekt bereinigt ('sanitized'), bevor sie übergeben wurden. Aus diesem Grund könnte ein Angreifer in einigen Fällen Drupal dazu bringen, die Eingaben zu rendern und Code auszuführen. Nach Angaben von Check Point eignet sich für einen Angriff besonders das Formular zum Anlegen neuer Nutzer.
Die Sicherheitslücke wurde ursprünglich von Jasper Mattson entdeckt. Nach Angaben von Drupal nutzten zum Zeitpunkt der ersten Veröffentlichung rund neun Prozent der Seiten mit einem bekannten CMS Drupal, etwa eine Million Seiten sollen von dem aktuellen Problem betroffen sein.
