Open-source software pakket Drupal is sinds de initiële livegang in 2000 uitgegroeid tot een populair CMS. Het wordt gebruikt op bijna 2,5% van alle websites wereldwijd, en mag bijna 1,3 miljoen developers tot haar community rekenen die, op hun beurt, weer verantwoordelijk zijn voor de ontwikkeling van bijna 40.000 modules om het CMS te personaliseren. Vorige week bracht Drupal echter een patch uit voor een remote code execution vulnerability die, volgens Drupal zelf, mogelijk al ‘binnen enkele uren’ misbruikt zou kunnen worden en enorme schade aan zou kunnen richten.

CVE-2018-7600
De code die voor de mogelijke vulnerability heeft gezorgd, is onderdeel van de core van Drupal en is te vinden in versies 6, 7, en 8. Het lek is dusdanig, dat hij bestempeld is als ‘Highly Critical’. De remote code execution is namelijk niet afhankelijk van enige vorm van rechten op het systeem en kan zelfs worden misbruikt als anonieme bezoeker van een getroffen website. Wanneer een aanvaller er misbruik van weet te maken, is er ook geen limitatie aan wat voor schade er kan worden aangericht. Drupal heeft zelf aangegeven dat alle data op een getroffen website bereikt, aangepast, en verwijderd zou kunnen worden.

Omdat de vulnerability is gevonden door een auditing bedrijf dat in dienst was van Drupal, heeft Drupal zelf de bekendmaking kunnen regisseren. Een week voordat de patches live gingen, heeft het bedrijf een aankondiging gedaan dat er een belangrijke patch aan zat te komen, zonder aan te geven waar de patch voor bedoeld was. Zo konden de gebruikers downtime inplannen om de patch te verwerken, en bleef de vulnerability zo lang mogelijk onbekend.

Vanwege de omvang van het lek en de relatief makkelijke manier waarop er misbruik van gemaakt kon worden, was dit een verstandige aanpak. Hoewel Drupal zelf al bij de aankondiging aangaf dat er ten tijde van hun bekendmaking nog geen code circuleerde die gebruik kon maken van de kwetsbaarheid, merkten ze zelf al op dat dit mogelijk een kwestie van slechts een paar uur zou kunnen zijn. Gelukkig is er tot op heden nog geen misbruik bekend gemaakt, maar dat betekent absoluut niet dat het beveiligingslek minder gevaarlijk is dan tot nu toe werd aangenomen.

Wat kunt u doen?
Volgens de organisatie zelf beslaat dit lek meer dan 1 miljoen websites; grote kans dus dat, wanneer u gebruik maakt van Drupal, uw website getroffen is. Drupal heeft daarom zelf de community gewaarschuwd over dit beveiligingsprobleem en het advies gegeven zo snel mogelijk de daarvoor uitgebrachte patch te installeren. Op de website van Drupal zijn patches te vinden voor Drupal 7 en Drupal 8; websites die nog steeds draaien op Drupal 6 kunnen gebruik maken van een patch die is ontwikkeld door het Long Term Support project.

De Drupal vulnerability is ook toegevoegd aan de Qualys Web Application Scanner. Deze scanner controleert uw website of applicatie op bekende vulnerabilities en waarschuwt u wanneer u gevaar loopt.

Lees relevante artikelen

Categorie  SSL & Security Vulnerability of the Month | Tags  Security VOTM vulnerability