830.000 websites mogelijk gehackt via Drupal-lek
Mogelijk zijn zo'n 830.000 websites gehackt via een ernstig beveiligingslek in het contentmanagementsysteem (CMS) Drupal dat op 15 oktober werd gepatcht en sinds die dag actief wordt gebruikt voor het overnemen van websites waar de update ontbreekt. De eigenaren van deze sites moeten er volgens Drupal in ieder geval van uitgaan dat hun website van een backdoor is voorzien.
Zeven uur na het uitkomen van de beveiligingsupdate vonden de eerste geautomatiseerde aanvallen plaats. Deze week gaf het Drupal-ontwikkelteam vanwege de aanvallen zelfs een aparte waarschuwing af. Daarin stond dat webmasters en beheerders die 7 uur na het verschijnen van de patch die nog niet hadden uitgerold, ervan moeten uitgaan dat hun website gecompromitteerd is.
Drupal 7
Volgens statistieken van Drupal waren er op 19 oktober, vier dagen na het uitkomen van de update, ruim 1,1 miljoen websites die op Drupal draaien. Versie 7.x van het CMS zou door zo'n 953.000 websites worden gebruikt. Op 19 oktober hadden 120.000 van de Drupal 7-sites versie 7.32 geïnstalleerd, die het ernstige lek verhelpt. Dat zou inhouden dat zo'n 833.000 websites vier dagen na het uitkomen van de belangrijke beveiligingsupdate nog steeds kwetsbaar waren.
Er moet wel worden gezegd dat het mogelijk was voor websites om het lek te verhelpen zonder de update naar versie 7.32 te installeren. De statistieken geven echter wel aan dat een groot aantal websites de update mist en hun beheerders ervan moeten uitgaan dat de website is gecompromitteerd. Drupal geeft in dit geval het advies om een back-up van de website van voor 15 oktober terug te zetten.
Nee, dat zou inhouden dat in ieder geval 833.000 websites niet op 7.32 draaien. Welk deel een oudere gepatchte versie is, is moeilijk te zeggen. Vanuit mijn omgeving hoor ik dat de meeste bedrijven gepatchet hebben, ipv geupgrade.
Let er ook op dat die 900K sites rapporteren aan Drupal.org. Niet alle sites doen dat, omdat je het kan uitschakelen.
Je moet dus de toegang tot je site via internet eerst onmogelijk maken, vervolgens een backup herstellen en de update doen, en pas dan de site toegankelijk maken via internet.
Dat is wel de meest gigantische trap tegen een open deur die ik in jaren gezien heb...
Je moet dus de toegang tot je site via internet eerst onmogelijk maken, vervolgens een backup herstellen en de update doen, en pas dan de site toegankelijk maken via internet.
Dat is wel de meest gigantische trap tegen een open deur die ik in jaren gezien heb...
Bij 833.000 websites die op 19 oktober nog niet gepatcht waren blijkt niet iedereen op de hoogte te zijn van dit soort open deuren.
(Nog een open deur: "indien er een kritische update is installeer deze dan meteen".)
Ik houd altijd het principe aan dat een webserver niet vanaf de internet zijde beheerd kan worden.
Maar ja dat is zo handig he, een inlog linkje... ik gebruik 2 interfaces of een VPN.
Verder denk ik dat je dit soort CMS'en niet kunt gebruiken. Ze zijn te onveilig, de code is te slecht.
Dat houdt honderdduizenden niet tegen, maar dat is niet mijn probleem.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.