Sicherheitsforscher warnen vor Angriffen auf Drupal-Websites

Sicherheitsforscher von Imperva weisen auf eine Angriffswelle hin, die sich gegen Websites richtet, die auf dem Content-Management-System Drupal basieren. Die Angreifer verfolgen offenbar das Ziel, Zugang zu einem Root-Konto des Webservers zu erhalten, um einen SSH-Client zu installieren, der wiederum zukünftige Zugriffe auf den Server ermöglichen soll.

(Bild: Drupal)Dabei setzen die Cyberkriminellen auf zwei bereits bekannte Exploits. Ins Visier nehmen sie Websites, die eine veraltete Version von Drupal einsetzen und nicht gegen Angriffe auf die im März öffentlich gemachte Schwachstelle Drupalgeddon 2 geschützt sind.

Finden sie eine solche Seite, dient Drupalgeddon 2 als erster Brückenkopf. Von dort aus suchen die Hacker in der lokalen Drupal-Konfiguration nach Anmeldedaten für die Datenbank. Finden sie Login-Daten für ein Root-Konto, versuchen sie, sich mithilfe dieser Daten auch beim Webserver anzumelden. Scheitert diese Methode, kommt ein zweiter Exploit namens Dirty Cow zum Einsatz.

Dirty Cow wurde 2016 erstmals beschrieben. Die zugrundeliegende Schwachstelle erlaubt es einem Hacker, seine Benutzerrechte auszuweiten und die Rechte eines Root-Users zu erlangen. Root-Rechte wiederum benötigen die Angreifer, um besagten SSH-Client einzurichten und die Kontrolle über den Server zu übernehmen.

Wieso die unbekannten Täter die Server kontrollieren wollen, ist nicht bekannt. Laut Imperva wurden die bisher untersuchten Angriffe alle von einer Web-Firewall des Unternehmens abgewehrt. In ähnlichen Fällen versuchten die Hacker jedoch meist eine Crypto-Mining-Malware einzuschleusen.

Auch wenn Imperva bisher nur mehrere Dutzend Angriffe entdeckte, geht das Unternehmen davon aus, dass sich die Attacken noch ausweiten werden. Auf vielen Web-Servern laufe bereits ein SSH-Daemon, was den Hackern den Umweg über ein Root-Konto möglicherweise erspare.

Darüber hinaus kritisierte Nadav Avital, Threat Analytics Manager bei Imperva, dass auch Monate nach der Veröffentlichung von Patches für Drupalgeddon 2 und Dirty Cow immer noch viele Webserver angreifbar seien. „Angesichts des lethargischen Tempos beim Patchen, der Schwere der Schwachstellen und der Tatsache, dass viele der Hacking-Tools diesen Angriff integriert haben, führt dies zu einer großen Anzahl von Angriffen“, ergänzte Avital. „Noch heute ist Drupalgeddon einer der beliebtesten Angriffsvektoren, die Hacker verwenden wollen.“

ANZEIGE

Die Cloud in kleinen Contact Centern: die Stunde der Wahrheit

Für viele Unternehmen ist noch immer unklar, welche Vorteile ein cloudbasiertes Contact Center bietet. Dieses E-Book von Genesys löst die Mythen rund um Cloud Contact Center auf.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Technologie-Fragmentierung der Cybersecurity setzt Unternehmen zu

Studie von Palo Alto Networks: Deutsche Unternehmen konsolidieren ihre Cyberlösungen unterdurchschnittlich, vertrauen aber der KI.

2 Tagen ago

Bericht: Microsoft schaltet ab Mai 2025 Skype ab

Ein Hinweis findet sich im Code einer Vorabversion von Skype für Windows. Darin rät Microsoft…

2 Tagen ago

US-Zölle: IDC korrigiert Prognose für PC-Markt nach unten

Auch ein gesättigter Markt für Verbraucher belastet den Markt. In diesem Jahr soll die Migration…

2 Tagen ago

Ocelot: AWS zeigt neuen Quantencomputing-Chip

Ocelot setzt auch eine neue Art von Qubits. Sie sollen den Ressourcenbedarf für die Fehlerkorrektur…

2 Tagen ago

Smartphone-Markt: Durchschnittspreis nimmt 600-Euro-Marke

Endgeräte, Apps und Mobilkommunikation sollen dieses Jahr 40,1 Milliarden Euro umsetzen. Ein Plus von 2…

3 Tagen ago

KI-gestützte Reisebetrügereien auf dem Vormarsch: Worauf Sie achten sollten

Schützen Sie sich vor KI-gestützten Reisebetrügereien! Erfahren Sie, wie Cyberkriminelle vorgehen und welche Maßnahmen Sie…

3 Tagen ago