En sårbarhet i Drupal har blitt lynraskt utnyttet i et angrep. Det skaper problemer for svært mange nettsteder. (Foto: PantherMedia/Sergey Nivens og Wikipedia. montasje: digi.no)

Massivt angrep mot Drupal

Nettsteder må trolig rulle tilbake til gammel backup.

Sikkerhetsteamet til Drupal-prosjektet advarte i forrige uke om at det har blitt oppdaget et automatisert angrep mot Drupal-nettsteder. Angrepet utnytter en sårbarhet som ble varslet den 15. oktober, sammen med utgivelsen av en sikkerhetsfiks i oppdateringen Drupal 7.32. Sårbarheten var av typen SQL-injisering. Den berører alle eldre utgaver av Drupal 7.

I dette tilfellet gikk det bare noen få timer fra sikkerhetsfiksen ble tilgjengelig til angrepet startet. Drupal Security Team skriver at nettsteder som ikke rakk å installere oppdateringen i løpet av de sju første timene etter kunngjøringen, må gå ut fra at nettstedet er kompromittert.

Brukere av Drupal anbefales å installere oppdateringen umiddelbart, men dette vil bare hindre framtidig kompromittering. Dersom nettstedet allerede har blitt angrepet, vil ikke en oppdatering fjerne eventuelle bakdører som har blitt opprettet.

Bakdørene kan være bortimot umulige å oppdage, men et mulig symptom er at Drupal 7.32 har blitt installert, uten at man selv har gjort det.

Den eneste sikre måten å fjerne bakdørene på, er å rulle tilbake en sikkerhetskopi fra før den 15. oktober, installere Drupal-oppdateringen og deretter manuelt legge til de ønskede endringer som man tidligere har gjort etter den 15. oktober.

Til toppen