Zero Day: Drupal-Seiten werden angegriffen

Schon wieder eine sehr kritische Drupal-Lücke: CVE-2018-7602 ermöglicht einem Angreifer die Übernahme von Drupal-Seiten. Erste Angriffe werden bereits nach wenigen Stunden registriert.

Artikel veröffentlicht am ,
Stilisiertes Drupal-Logo
Stilisiertes Drupal-Logo (Bild: Jasmin Schaitl/CC-BY 2.0)

Angreifer haben nur wenige Stunden nach Bekanntwerden einer erneuten kritischen Sicherheitslücke im Content-Management-System (CMS) Drupal begonnen, den Bug für Attacken auszunutzen. Sie nutzen dabei Code eines Proof-of-Concepts, der online verfügbar ist.

Stellenmarkt
  1. SAP Inhouse Consultant (m/w/d) Anwendungsberatung und Customizing PP-PI/MM
    Lehmann&Voss&Co. KG, Hamburg Wandsbek
  2. HR IT (Junior-) Specialist (m/w) für SAP HR Projekte
    Merz Pharma GmbH & Co. KGaA, Frankfurt am Main
Detailsuche

"Wir sehen defintiv Proof-of-Concept-Exploits, die online veröffentlicht werden", sagte Greg Knaddison vom Drupal-Team Ars Technica. Immerhin kann der Angriff noch nicht automatisiert durchgeführt werden, weil er von zahlreichen Variablen auf der angegriffenen Drupal-Seite abhängt. Erfolgreiche Übernahmen verwundbarer Seiten soll es aber bislang noch nicht gegeben haben.

Die Sicherheitslücke CVE-2018-7602 ermöglicht einem Angreifer die Ausführung beliebigen Codes aus der Ferne. Es handelt sich um den zweiten kritischen Fehler in Drupal binnen weniger Wochen. Betroffen sind die Versionen 7.x und 8.x. Die neue Sicherheitslücke soll mit der als "Druppalgeddon 2" bekanntgewordenen Lücke "verwandt" sein.

Angreifer muss authentifiziert sein

Drupal selbst stellt keine weiteren Details zu dem Problem zur Verfügung. Wie bei Druppalgeddon2 soll auch bei diesem Bug eine fehlende Bereinigung eingegebener Werte ("sanitization") für die Probleme verantwortlich sein. Für den derzeit kursierenden Code muss ein Nutzer authentifiziert sein und über die Berechtigung verfügen, Nodes zu löschen.

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    26. November 2021, Virtuell
Weitere IT-Trainings

Die aktuellen und nicht verwundbaren Versionen sind Drupal 7.59 und 8.5.3. Auch für die eigentlich nicht mehr unterstützte Version 8.4 steht mit der Versionszahl 8.4.8 ein Patch bereit. Aufgrund der Angriffe sollten die Updates umgehend eingespielt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kursabsturz
Teamviewer-Chef spricht über schwere hausgemachte Fehler

Die vielen neuen Mitarbeiter seien nicht richtig eingearbeitet worden. Und die Ziele von Teamviewer seien zu hochgesteckt gewesen, sagt Oliver Steil.

Kursabsturz: Teamviewer-Chef spricht über schwere hausgemachte Fehler
Artikel
  1. NDR und Media Broadcast: Fernsehen über 5G wird breit ausgestrahlt
    NDR und Media Broadcast
    Fernsehen über 5G wird breit ausgestrahlt

    Fernsehen kann auch über 5G laufen. Auf 578 MHz kann das jetzt ausprobiert werden. NDR und Media Broadcast machen es möglich.

  2. Amazon-Go-Konkurrenz: Rewe eröffnet ersten kassenlosen Supermarkt
    Amazon-Go-Konkurrenz
    Rewe eröffnet ersten kassenlosen Supermarkt

    Kameras und Sensoren überwachen Kunden in Rewes kassenlosem Supermarkt. Bezahlt wird mit dem Smartphone.

  3. Huawei: Telefónica setzt eine Antenne für alle Frequenzen ein
    Huawei
    Telefónica setzt eine Antenne für alle Frequenzen ein

    All-in-One braucht weniger Energie und Platz. Telefónica setzt die Blade AAU & Dual Band FDD 8T8R in München ein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 erhältlich ab 2.249€ • EA-Spiele für alle Plattformen günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /