Crypto-Miner nutzen neue Lücke in Drupal

Drupal zählt neben WordPress und Joomla zu den beliebtesten Content Management Systemen (CMS) in Deutschland. Aktuell sind deshalb tausende Blogs und Webseiten von einer Sicherheitslücke betroffen, die es kriminellen Crypto-Minern ermöglicht, den fremden Webserver für ihre Zwecke zu kapern.

So funktioniert der Angriff

Crypto-Mining ist rechenintensiv, stromhungrig und kostspielig. Die Angreifer versuchen deshalb, die gehackte Server-Hardware möglichst unerkannt für das Erzeugen von Bitcoins und anderen Kryptowährungen zu benutzen.

Die Drupal-Lücke, gelistet unter der Kennung SA-CORE-2019-003, wird als hochkritisch eingestuft. Sie ermöglicht es den Angreifern, die Sicherheits-Kontrollen zu umgehen und eigenen Code auf dem Server auszuführen.

Normalerweise werden alle Nutzer-Eingaben wie Name, Mailadresse oder Passwort vom CMS genau auf ihren Inhalt überprüft. Ist es wirklich nur der Vorname oder versucht jemand einen schädlichen Quellcode oder HTML-Tags auszuführen? Die jetzt entstandene Lücke betrifft deshalb auch nur Texteingaben, die nicht über normale Standard-Formulare übertragen werden.

Betroffen sind alle Drupal-Systeme der Versionen 7.x und 8.x, die die Verwendung von „RESTful Web Services“ ermöglichen und dabei GET-, PATCH- und POST-Anfragen erlauben.

So schließen Sie die Lücke

Bei Verwendung von Drupal 8.6.x ist ein Update auf Version 8.6.10 nötig. Wer noch Drupal 8.5.x (oder älter) einsetzt, sollte auf 8.5.11 updaten. Für Drupal 7.x selbst ist kein Update notwendig, allerdings sind viele Plugins für den Angriff anfällig und sollten aktualisiert werden. Eine Liste finden Sie hier.

Die neue Lücke setzt eine aktuelle Serie an heiklen Exploits fort. Drupal-Betreiber müssen schon zum dritten Mal innerhalb von 30 Tagen ihr System updaten. Drupal ist Open-Source und bei Unternehmen sowie Privatleuten gleichermaßen beliebt. So setzen etwa die Tagesschau, das ZDF und Universal Music auf das CMS.

Obwohl der Krypto-Boom in den letzten Monaten nachgelassen hat, versuchen unlautere Miner nach wie vor ihre Kosten für das Berechnen von Bitcoin & Co. zu senken. Neben der Übernahme von Serven wird das auch durch versteckten Schadcode in Webseiten versucht.