Een lek in Drupal waarmee cybercriminelen aan cryptojacking konden doen, is veel kleiner dan wat veel media gemeld hebben. Dat schrijft de Stichting Drupal in een persbericht.
Het lek kwam eind juni aan het licht en sloeg op een kwetsbaarheid die Drupal in april had gedicht met een patch. Omdat veel beheerders de patch nog niet geïnstalleerd zouden hebben, zouden nog veel Drupal-systemen vatbaar zijn. Via de lekken SA-CORE-2018-002 en SA-CORE-2018-004 was het mogelijk om in de achtergrond de cryptomunt Monero te delven. De gebruikers van de getroffen systemen merkten weinig van de infectie, alleen dat hun systemen langzamer draaien of dat de ventilator harder draait dan tevoren.
De mate waarin het lek nog aanwezig zou zijn is echter overtrokken en niet te achterhalen op de manier die in de berichtgeving wordt gemeld, zo zegt Stichting Drupal. In de media was te lezen dat bij een groot aantal websites het lek nog niet gedicht is. ‘Deze vermeldingen zijn allen gebaseerd op dezelfde bron, die de inhoud van het bestand changelog.txt van een groot aantal websites onderzocht en aannam dat alle websites met een versie lager dan 7.58 gevoelig zijn voor misbruik van het lek’, zo zegt de Stichting.
Volgens haar is de inhoud van changelog.txt controleren ‘geen volwaardige manier om vast te stellen of een site gevoelig is voor een bepaalde aanvalsvector. Patches die door het Drupal beveiligingsteam werden gedistribueerd om de problemen op te lossen, werden op grote schaal gebruikt. Deze patches raakten changelog.txt of de elders gedefinieerde versienummers niet aan.’
De Stichting Drupal vecht de gepresenteerde cijfes dan ook aan en stelt dat het niet terecht is om conclusies te trekken op basis van deze schaarse informatie. ‘Drupal heeft een lange geschiedenis en goede reputatie omtrent het betrouwbare en secuur gecoördineerde beveiligingsprogramma en is ervan overtuigd bovengenoemde issues opgelost te hebben’, zo besluit de stichting.
