Hacker haben einen Weg gefunden, Drupal anzugreifen, und das kann auch Ihre virtuelle Sicherheit beeinflussen

Drupal ist das weltweit drittbeliebteste Content Management System (CMS). Außerhalb des Zusammenhangs klingt dies nicht nach einer so großen Errungenschaft, aber wenn Sie die schiere Weite des Internets berücksichtigen, werden Sie feststellen, dass dieses einzige Open-Source-Projekt für die Bereitstellung einer erstaunlichen Menge an Informationen verantwortlich ist. Wir sprechen oft auch über wichtige Informationen. Nutzungsstatistiken deuten darauf hin, dass eine größere Anzahl von Websites auf Joomla basiert, die Besucher von Drupal jedoch mehr Besucher haben, und in der Tat zeigen Listen populärer Drupal-Websites, dass es das bevorzugte CMS für viele Unternehmensriesen, Regierungen und Bildungseinrichtungen ist.

Das Problem dabei ist, dass Drupal, wenn ein Fehler auftritt, eine große Anzahl wichtiger Websites betreffen kann. Leider wenden selbst die Betreiber hochkarätiger Internetportale Sicherheitspatches nicht immer rechtzeitig an, und die Ergebnisse sprechen oft für sich. Heute werden wir über die jüngsten Sicherheitslücken sprechen, wie die anfälligen Websites betroffen sind und was hätte getan werden können, um den Schaden zu minimieren.

SA-CORE-2019-003 - ein kritischer Fehler bei der Ausführung von Remote-Code

Alles begann am 20. Februar, als Drupal Patches für eine zuvor unbekannte Sicherheitsanfälligkeit bezüglich Remotecodeausführung veröffentlichte, die sich auf bestimmte Versionen des Content-Management-Systems auswirkte. Der als SA-CORE-2019-003 oder CVE-2019-6340 bekannte Fehler beruht auf der Tatsache, dass die betroffenen Drupal-Installationen Daten, die aus nicht- formellen Quellen stammen, nicht ordnungsgemäß bereinigen Abhilfe ist auch ohne das Anbringen eines Patches möglich.

Die Entwickler rechneten damit aus, dass ein paar Konfigurationsänderungen ausreichend sein könnten, aber einige Tage nach der Entdeckung gaben sie an, dass ihre ersten Gedanken falsch waren. Das Sicherheitsrisiko wurde dann auf "Sehr kritisch" aktualisiert. Trotzdem haben einige Websitebesitzer ihre Installationen nicht sofort aktualisiert. Die Hacker brauchten keine zweite Einladung.

Cybercrooks betreiben Kryptowährungs-Miner auf verwundbaren Drupal-Installationen

Gestern, Imperva, ein Unternehmen in der Website - Sicherheit spezialisiert hat , sagte , dass nur drei Tage nach der ersten Veröffentlichung, Hacker bereits versucht , SA-CORE-2019-003 zu nutzen. Es war ein ziemlich starker Angriff, und obwohl es etwas nachgelassen hat, wie wir gleich erfahren werden, ist es nicht besonders schwierig, einen Angriff zu starten, was bedeutet, dass wir möglicherweise weitere Aktivitäten rund um SA-CORE-2019-003 sehen werden.

Wir sprechen über Remote-Code-Ausführung. Mit anderen Worten, die Angreifer können mehr oder weniger frei tun, was sie wollen, nachdem sie die Sicherheitsanfälligkeit ausnutzen. Bei den von Imperva beobachteten Angriffen waren die Gauner vor allem daran interessiert, einen JavaScript-Kryptowährungs-Miner namens CoinIMP einzuspritzen, der mit Hilfe der Hardware-Ressourcen der Besucher Monero und Webchain abbaut. In einigen Fällen sahen die Forscher jedoch, dass die Gauner Muscheln auf den betroffenen Websites platzierten, sodass sie Dateien ohne Genehmigung oder Authentifizierung hochladen konnten. Beim nächsten Mal entscheiden sie sich möglicherweise für etwas Unheimlicheres, beispielsweise Drive-by-Downloads, die die Computer der Benutzer mit Malware infizieren.

Es könnte schlimmer sein

Es muss gesagt werden, dass der Abbau von Kryptowährung mit Computern, die keine Kenntnis von unwissenden Menschen haben, nicht die übelste Form der Internetkriminalität ist, und dass es einige andere Dinge gibt, die den Angriff noch schlimmer machen könnten.

Es ist unmöglich zu wissen, wie groß die Kampagne ist. Imperva bemerkte zwar einen erheblichen Aufwärtstrend, aber sie können nur über ihre Kunden sprechen, was bedeutet, dass wir keine zuverlässigen Zahlen haben. Viele Leute glauben jedoch, dass der Angriff nicht so weit verbreitet sein kann, weil SA-CORE-2019-003 eine relativ begrenzte Anzahl von Drupal-Versionen betrifft. Einige glauben sogar, dass die möglichen Ziele so gering sind, dass die Angreifer den Angriff als Zeitverschwendung betrachten. Wir hoffen natürlich, dass sie recht haben. Wir können jedoch nicht übersehen, dass es einfacher ist, SA-CORE-2019-003 zu nutzen, als es sollte.

Ein Proof-of-Concept-Code ermöglicht eine schnelle und einfache Nutzung

Die anfängliche Offenlegung vom 20. Februar enthielt nicht viel technische Details, aber natürlich wollten die Sicherheitsleute mehr darüber wissen. Experten von Ambionics Security nahmen den Patch auseinander und stellten fest, dass der Fehler ein bisschen mehr war, als zunächst gedacht wurde. Um ihre Ergebnisse zu untermauern, veröffentlichten sie einen Proof-of-Concept-Exploit. All dies half Drupal, mehr über den Fehler zu erfahren und die Entscheidung, die Sicherheitsanfälligkeit als hoch kritisch einzustufen.

Das Vorhandensein eines öffentlich zugänglichen Exploits macht die Arbeit der Kriminellen leider etwas einfacher, was bedeutet, dass die Bedrohung trotz der geringen Anzahl potenzieller Opfer immer noch sehr real ist.

Sie könnten stundenlang argumentieren, ob die Entscheidung von Ambionics, den Code zu veröffentlichen, gut war. Einige von Ihnen denken wahrscheinlich, dass daran nichts auszusetzen ist, während andere sagen, dass es eine bessere Sache gewesen wäre, Drupal privat über die Ergebnisse zu informieren und den Exploit unter Verschluss zu halten. Alternativ können Sie einfach sicherstellen, dass Ihre Drupal-Website aktualisiert wird, und SA-CORE-2019-003 vergessen.