Kritische Lücken in Drupal-CMS-Modulen gefährden tausende Websites

Drupal hat Anwender seines freien Content Management System (CMS) aufgerufen, die neuesten Updates einzuspielen, um schwerwiegende Sicherheitslücken zu schließen. Diese stecken in verschiedenen Modulen und erlauben es Angreifern, eine Website zu entführen und Schadcode aus der Ferne auszuführen. Von den Schwachstellen sollen mindestens 13.000 auf Drupal basierende Sites betroffen sein.

„Die Module enthalten eine Möglichkeit zur Remotecodeausführung, die es Angreifern mittels manipulierter Anfragen erlaubt, die Site zu übernehmen“, erklärt Drupals Sicherheitsteam. So könnten sie beliebige Änderungen auf der Site vornehmen und auch die vollständige Kontrolle über Server erlangen.

Was die Sache noch verschlimmert: Jeder Besucher einer anfälligen Domain, der die fehlerhaften Module hostet, könnte die Lücken theoretisch ausnutzen, um eine Site zu übernehmen.

Eins der betroffenen Module ist RESTWS, das zum Erstellen von REST APIs verwendet wird und aktuell auf über 5800 Websites zum Einsatz kommt. Durch Ausnutzen der Schwachstelle in diesem Modul können Angreifer schädlichen PHP-Code ausführen. Entdeckt hat sie der Sicherheitsexperte Devin Zuczek.

Eine Lücke findet sich auch im Modul Coder, das auf knapp 5000 Drupal-Domains zur Codeanalyse eingesetzt wird. Der von Nicky Bloor gemeldete, „hochkritische“ Fehler resultiert aus einer unzureichenden Prüfung von PHP-Script-Benutzereingaben und ermöglicht so Remotecodeausführung. Dafür muss das Modul nicht einmal aktiviert sein.

Das dritte und letzte Modul, das aktuell tausende Drupal-Websites gefährdet, ist Webform Multiple File Upload. Durch die darin enthaltene kritische Schwachstelle kann ein Angreifer eventuell ebenfalls Schadcode ausführen, abhängig von den auf der Domain verfügbaren Bibliotheken. Jedoch muss er dazu ein Webformular mit einem Multiple-File-Input-Feld übertragen. Entdecker dieser Lücke ist Ben Dougherty vom Drupal Security Team.

Die Anfälligkeiten wurden mit den jüngsten Versionen der Module beseitigt. Anwender sollten sie daher schnellstmöglich installieren, um ihre Drupal-Websites abzusichern.

Weltweit basieren mehr als eine Million Sites auf Drupal. Es ist damit nach WordPress und Joomla das am dritthäufigsten eingesetzte CMS. Aufgrund seiner E-Commerce-Funktionen ist Drupal vor allem bei Geschäftsanwendern beliebt. Schätzungsweise neun Prozent der 10.000 führenden Websites nutzen das Drupal-System.

Im Januar wies der Aktualisierungsprozess von Drupal Schwachstellen auf, die alle Versionen des CMS betrafen. Sie ermöglichten Codeausführung und den Diebstahl von in Datenbanken vorgehaltenen Identitäten. Im Februar schloss Drupal mit einem Update gleich zehn kritische Lücken, von denen einige ebenfalls für Remotecodeausführung und Webiste-Hijacking ausgenutzt werden konnten.

[mit Material von Charlie Osborne, ZDNet.com]