To måneder senere er der stadig hundredtusindvis af Drupal sites der ikke er patchet eller opdateret.

Hundredtusindvis af sites, der kører på Drupal CMS – herunder de store uddannelsesinstitutioner og statslige organisationer rundt om i verden – er blevet fundet sårbare overfor de seneste yderst kritiske huller, for hvilke der er udkommet to sikkerhedspatches for næsten to måneder siden.

Med Drupalgeddon2 hullet, som det blev døbt, blev det offentliggjort at hackere kunne injicere “cryptocurrency mining”, bagdøre og andre malware på websites, indenfor få timer efter hullet blev offentligt.

Sikkerhedsforsker Troy Mursch som nyligt har skannet internettet, har fundet næsten 500.000 hjemmesider på Drupal 7, hvoraf 115.070 stadig kørte en forældet version af Drupal CMS. Disse sites er sårbare overfor i sær “Drupalgeddon2-hullet” til trods for gentagne advarsler om alvorligheden af at man får patchet sit site, og derfor står helt åbne overfor hackerandgreb.

Udover disse ting har man også skulle patche tema-filer overfor kritisk cross-site scripting (XSS), hvor et hackerangreb og hackere kan skabe sig adgang til sites og foretage cookie tyveri, keylogging, phishing og identitetstyveri.

Vi har advaret og oplyst vores egne kunder siden marts omkring alvorligheden af hullerne, samt oplyst at når man har et open source CMS site, som f.eks. Drupal, WordPress eller Joomla, så ligger ansvaret hos en selv. Med mindre man f.eks. har en opdaterings aftale.

Hvis du har mistanke om at dit site allerede er hacket og inficeret med malware, vil det ikke være nok kun at få sitet patchet/opdateret. Her vil dit site skulle unhackes af et evt. professionelt webbureau eller en Drupal-kyndig person.

Du skal se efter om dit Drupal site er af ældre version end følgende nyeste versioner: Drupal 7.58 eller Drupal 8.5.1.

Sårbarheden (hullerne) påvirker også Drupal 6.x, men Drupal Community udvikler ikke længere patches til denne version af Drupal. Her er din eneste mulighed at få unhacket dit sit og herefter få sitet opgraderet til en Drupal 7 version. Dette vil dog være en større affære.

Står du i en situation hvor du ikke ved hvad som er op og ned, så kontakt et professionelt webbureau, som f.eks. os, og tag en snak om hvilke muligheder der er, og hvordan du kommer videre.

Kilde:
https://www.bleepingcomputer.com/news/security/two-months-later-over-115-000-drupal-sites-still-vulnerable-to-drupalgeddon-2/