Kritieke Drupal-bug geeft hackers toegang tot je website

Enkele uren nadat de ‘onderhouders’ van de open source-code een lek online hebben gepubliceerd, zijn malafide hackers in actie geschoten met heel wat actieve aanvallen om het Content Management System (CMS) van diverse bedrijven over te nemen.

Tot dusver wordt voornamelijk de proof-of-concept code gebruikt die online beschikbaar is gesteld door hackers. Drupal ‘onderhouder’ Greg Knaddison vertelt aan Ars Technica dat de code niet kan worden geautomatiseerd om aanvallen op grote schaal uit te voeren. Een succesvolle exploit vereist namelijk permissies en configuratie-instellingen die variëren van site tot site. Tot dusver is geen enkele overname van een Drupal-gebaseerde website succesvol gelukt volgens Knaddison.

De kritieke bug is slecht nieuws voor alle websites die Drupal gebruiken, een open-bron CMS gebouwd op de PHP programmeertaal. Een maand geleden werden ze al geconfronteerd met hoog kritieke bug, één veiligheidsniveau hoger dan de nieuwste variant die als kritiek wordt gelabeld.

Drupal heeft voor de kritieke bug een update gelanceerd woensdag. Vooral voor Drupal 7.x en 8.x is de update heel belangrijk, omdat daar de hack vanop afstand kan worden ingeschakeld om de website over te nemen.

Websites die Drupal 7.x draaien, moeten onmiddellijk updaten naar Drupal 7.59. Wie op Drupal 8.5.x zit, moet nu updaten naar 8.5.3. Normaal zorgt Drupal niet meer voor patches voor versies 8.4.x, maar in dit geval hebben ze een uitzondering gemaakt en moet er eerst naar versie 8.4.8 en dan naar 8.5.3 worden geüpdatet.

Van alle websites wereldwijd draait 2,2 procent op Drupal.