Een zeer ernstig beveiligingslek in het contentplatform Drupal dat op 20 februari werd gepatcht wordt al enkele dagen door criminelen gebruikt om nog ongepatchte websites aan te vallen. Via het beveiligingslek kan een aanvaller kwetsbare websites overnemen en van kwaadaardige code voorzien.

Volgens securitybedrijf Imperva zoeken aanvallers sinds 23 februari naar kwetsbare websites. In het geval de website kwetsbaar is wordt er een cryptominer aan de website toegevoegd, die in de browser van bezoekers wordt uitgevoerd. Daarbij wordt de rekenkracht van de computer van de bezoekers ingezet om cryptovaluta te delven. Ook installeren de aanvallers een shell uploader waarmee ze willekeurige bestanden kunnen uploaden.

Drupal-websites lopen alleen risico als de Drupal 8 core RESTful Web Services (rest) module staat ingeschakeld en PATCH- of POST-verzoeken worden toegestaan, of wanneer de website een andere web services module in Drupal 8 heeft ingeschakeld, of van Service of RESTful Web Services in Drupal 7 gebruikmaakt.

Volgens cijfers van Drupal zijn er 315.000 websites die op Drupal 8 draaien. Zoals gezegd zijn deze websites alleen kwetsbaar als ze van een bepaalde module gebruikmaken en de beschikbare update nog niet hebben geïnstalleerd. In het verleden zijn ernstige Drupal-lekken vaker kort na het uitkomen van een update gebruikt om kwetsbare websites aan te vallen.