Lücke: Alle Drupal-Versionen erlauben Datendiebstahl und Codeausführung

Eine Reihe von in dem Content-Management-System Drupal gefundenen Lücken ermöglicht Codeausführung und Diebstahl von in Datenbanken vorgehaltenen Identitäten. Die Anfälligkeiten befinden sich laut Fernando Arnaboldi von IOActive im Aktualisierungsprozess von Drupal. Sie sind grundsätzlicher Natur und betreffen alle Versionen. Threatpost hat den Bericht aufgegriffen.

Die von Arnaboldi kombinierten Lücken sind unterschiedlichen Alters, eine kursiert seit Jahren, zwei andere waren bis heute unbekannt. Als Hauptproblem schildert der Sicherheitsforscher, dass Drupal Updates nicht verschlüsselt und auch ihre Herkunft nicht verifiziert, was Man-in-the-Middle-Angriffe auf den Aktualisierungsprozess erleichtert.

Für eine solche Attacke muss sich der Angreifer im gleichen Netz wie sein Opfer befinden, beispielsweise einem öffentlichen WLAN oder durch eine separate Attacke. Als Teil des Aktualisierungsprozesses lädt Drupal eine XML-Datei im Textformat; laut Arnaboldi könnte sie auf eine beliebige präparierte Version des CMS mit einer Hintertür verweisen, auf einem beliebigen Server. Sein Proof-of-Concept lädt beispielsweise ein Update „7.41 mit Hintertür“.

Zweites Problem ist laut dem Forscher, dass Drupal nicht warnt, wenn der Update-Prozess an Verbindungsproblemen scheitert, sondern stattdessen informiert, die Software sei auf dem neuesten Stand. Und drittens gibt es ergänzend einen Button, um die Aktualität der Plug-ins manuell zu überprüfen. Dieser ließe sich per Cross-Site-Scripting missbrauchen, um beliebig Daten von updates.drupal.org abzurufen und so Bandbreite zu verbrauchen oder gar einen Denial-of-Service-Angriff auszulösen.

IOActive hat das Open-Source-Projekt Drupal im November über die Schwachstellen informiert. Daraufhin beschloss man, die Frage der Verschlüsselung von Updates öffentlich zu diskutieren. Dazu wurde in den Drupal-Foren ein einschlägiger Diskussionsfaden von 2012 wieder geöffnet. Gegen eine Bekanntmachung der anderen Lücken hatte Drupal laut Arnaboldi nichts. Nach Eindruck des Forschers ist kurzfristig kein Patch geplant.

Drupal 8 stammt von Mitte November. Arnaboldi hatte schon für dieses große Update mit einer Korrektur für die Lücken gerechnet. Diese Woche erschien Drupal 8.0.2 – weiter ungepatcht.

Die Sicherheitsfirma IOActive konnte zuletzt Sicherheitslücken prominenter Software aufdecken. So gelang es einem ihrer Mitarbeiter im vergangenen Jahr, einen fahrenden Chrysler Jeep Cherokee zu entführen. Der Sicherheitsforscher wurde später von Uber abgeworben. IOActive spürte aber auch Sicherheitslücken in den Update-Systemen von LG und Lenovo auf.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de