En sårbarhed har ramt det udbredte CMS, Drupal, der anvendes på et hav af hjemmesider verden over. Sårbarheden, der nu er lukket, har blandt andet betydet, at hackere har kunnet tilgå brugerinformationer på berørte hjemmesider.
Mediehuset Ingeniøren, som Version2 er del af, anvender netop Drupal, og er som følge af sårbarheden blevet udsat for et hackerangreb på flere af de hjemmesider, som mediehuset står bag.
Det drejer sig om Ingeniørens hjemmeside ing.dk, it-mediet Version2′s hjemmeside version2.dk, konferencesitet jobtraef.dk og rekrutteringsbuearets Capax’ hjemmeside capax.dk.
Sårbarheden er blevet udnyttet til at oprette brugere med administrator-adgang på hjemmesiderne. Det konkrete angreb er foregået via en såkaldt SQL-injection-sårbarhed. Det vil sige, at hackeren har kunnet køre SQL-forespørgsler i de bagvedliggende databaser.
I forbindelse med angrebet har hackeren haft adgang til de brugeroplysninger, der er knyttet til de forskellige sites. Det vil typisk sige brugernavn og mail. Passwords har været opbevaret kryptereret.
Teknisk har brugerpasswords været kørt gennem en SHA-512-algoritme, som har været ‘salted’ med en tilfældig værdi. Det er normalt en af de mest sikre og anerkendte metoder til sikring af kodeord, fortæller digital udviklingschef og driftsansvarlig i Mediehuset Ingeniøren Jesper Bille Haun.
Skift password for en sikkerheds skyld
For en sikkerheds skyld opfordrer han dog alle brugere med profiler på ing.dk og version2.dk til at skifte kodeord – og kodeord på andre sites, hvor de samme login-oplysninger er anvendt.
»Når et site har været kompromitteret, bør man altid skifte kodeord på de ramte hjemmesider og andre steder, hvor samme login-oplysninger må være anvendt. Der findes metoder, der kan knække den sikkerhed, der ligger i password-krypteringen, hvis der har været brugt forholdsvis simple kodeord,« siger Jesper Bille Haun.
Brugere er der har oprettet profiler via Facebook har i udgangspunktet ikke fået kompromitteret deres oplysninger.
Udover oplysninger om brugere oprettet på de forskellige Drupal-hjemmesider, så har hackeren via Version2 i princippet også haft adgang til oplysninger på Version2′s Job-side.
»Hackeren kan også have hentet informationer om de profiler, der er oprettet på Version2 Job. Det er oplysninger som arbejdserfaring, uddannelse og den slags. Vi ved ikke, om disse oplysninger faktisk er blevet tilgået,« siger Jesper Bille Haun.
Sikkerhedshullet i Drupal er patched og dermed lukket med version 7.32 af cms’et. Tidligere versioner af Drupal core 7 formodes er ramt af sårbarheden. Drupals sikkerhedshold sendte en meddelelse ud om sårbarheden, som blev beskrevet som yderst kritisk i onsdag i sidste uge, 15. oktober, omkring klokken 18 dansk tid.
Mediehuset Ingeniørens servere blev øjensynligt angrebet natten til torsdag 16. oktober cirka syv timer senere.
Oprettede bagdør
Efter at have brugt sikkerhedshullet til at oprette administratorbrugere på de forskellige sites, har hackeren oprettet sin egen bagdør på Version2′s hjemmeside. Herefter har hackeren lukket sikkerhedshullet på hjemmesiderne, så den kendte SQL-sårbarhed ikke har kunnet anvendes af andre.
Bagdøren på Version2 har gjort det muligt for hackeren at afvikle blandt andet php-kode via specifikke og skjulte url-adresser.
Den ondsindede kode og hackerens adgang skulle nu være ryddet helt af vejen.
»Vi vil forsøge at undgå lignende angreb ved minutiøst at gennemgå og evaluere vores beredskab og om nødvendigt tage yderligere skridt for at sikre data,« siger Jesper Bille Haun.
Den uafhængige new zealandske ekspert Bevan Rudge anslår, at 100.000-vis af sites har været ramt verden over af sikkerhedshullet og nu har fået installeret bagdøre i hackersagen, der har fået navnet Drupageddon.
»Der er i øjeblikket mange danske sites hos store og kendte virksomheder, der stadig kører ældre versioner af Drupal. De kan naturligvis være patchet af anden vej, men det er ikke sikkert, at Drupageddon er slut endnu,« siger Jesper Bille Haun, som opfordrer til større åbenhed blandt de ramte virksomheder for bedre i fællesskab at bekæmpe uvæsenet.
Leave a Reply