Illustration eines Schiffs mit einem Totenkopf-Segel, das symbolisch für die Drupalgeddon-Sicherheitslücke steht, umgeben von gefährlichen Wellen und dem Drupal-Logo.
© vecteezy / erdfisch

10 Jahre Drupalgeddon: als erdfisch mittendrin war – und was das für Ihre Sicherheit bedeutet

Rückblick auf die größte Drupal-Sicherheitslücke aller Zeiten - und unsere bisher nie erzählte Rolle darin

Heute vor 10 Jahren, am 15.10.2014, wurde die Drupal-Community durch den so genannten „Drupalgeddon-Vorfall“ erschüttert. Hinter Drupalgeddon - manchmal auch „Drupageddon“ geschrieben – steckt eine der größten Sicherheitslücken, die je in der Open-Source-Welt entdeckt wurde.

Alle auf Drupal basierenden Webseiten weltweit waren gefährdet. Der Ruf von Drupal bekam gehörige Kratzer ab. Dabei ging das Drupal Security Team vorbildlich mit dieser zugegebenermaßen extrem gefährlichen Bedrohung um:

  • ausreichend Vorwarnzeit für die Betreiber, dass demnächst Informationen zu einer äußerst schweren Sicherheitslücke publiziert werden,
  • transparente Kommunikation
  • und auch die gleichzeitige Bereitstellung des Patches.

Besser kann man Krisenkommunikation nicht betreiben. Und dennoch erschütterte Drupalgeddon das Vertrauen in Drupal als sicheres und zuverlässiges System nachhaltig, sodass dieses erst sukzessive wieder aufgebaut werden musste.

Was aber bis heute nicht öffentlich war: ohne erdfisch wäre Drupalgeddon möglicherweise nicht von „den richtigen Leuten“ entdeckt worden. Vielleicht hätte es keinen rechtzeitigen Patch gegeben und der Schaden wäre noch um viele Größenordnungen höher ausgefallen.

Warum das so ist, was genau geschah, und welche Rolle erdfisch in diesem „Thriller“ spielte - davon berichten wir heute erstmals öffentlich.

Drupalgeddon – was genau war das?

Hinter dem dramatischen Namen Drupalgeddon steckt eine echte Bedrohung. Es ging um eine Schwachstelle, durch die Angreifer potenziell die Kontrolle über Drupal-Websites übernehmen konnten – inklusive Zugang zu allen Daten. Für viele Betreiber war das ein echter Weckruf: Regelmäßige Updates und Sicherheitsmaßnahmen sind kein „Nice-to-have“, sondern absolut notwendig, wenn das eigene Web-Projekt so sicher wie möglich bleiben soll.

Keine Sorge, Sie müssen kein Technik-Profi sein, um zu verstehen, was damals los war. Im Grunde ermöglichte es die Lücke, dass jemand unerlaubt auf die Datenbank Ihrer Website zugreifen konnte. Wenn Sie sich vorstellen, dass Ihre Website Ihr digitales Zuhause ist, dann war Drupalgeddon wie eine unverschlossene Tür, durch die jeder ungebeten hereinkommen konnte. Gruselig, oder?

Glücklicherweise war die Lücke nicht sofort trivial auszunutzen. Sie erforderte fundiertes technisches Know-how, um erfolgreich implementiert zu werden. Diese Komplexität verschaffte der Drupal-Community ein kleines Zeitfenster, um zu reagieren und einen Patch bereitzustellen.

Dank der koordinierten Anstrengungen des Drupal Security Teams und der Entwickler-Community konnte der Exploit relativ schnell behoben werden, bevor er noch größeren Schaden anrichten konnte.

Warum war diese Schwachstelle so gefährlich?

  • Weite Verbreitung: Drupal 7 war zu dieser Zeit eine der am weitesten verbreiteten Versionen von Drupal. Websites aus allen Branchen, von Regierungsportalen bis zu Unternehmensseiten, liefen darauf.
  • Einfache Automatisierung: Obwohl der Angriff technische Kenntnisse voraussetzte, konnte er durch Skripte automatisiert und massenhaft ausgeführt werden, was die Anzahl der betroffenen Seiten exponentiell erhöhte.

  • Keine Authentifizierung erforderlich: Der Angriff konnte ohne jegliche vorherige Authentifizierung durchgeführt werden, was ihn besonders gefährlich machte.

     

Für die Techies unter Ihnen: Der technische Hintergrund

Drupalgeddon war eine kritische SQL-Injection-Schwachstelle, offiziell bekannt als CVE-2014-3704. Sie betraf die Drupal 7.x-Reihe und ermöglichte es Angreifern, manipulierte Datenbankabfragen an die Website zu senden. Dabei nutzten sie eine Sicherheitslücke in Drupals Form-API, die unzureichend gegen sogenannte “unsichere Eingaben” abgesichert war.

Eine SQL-Injection ermöglicht es Angreifern, unerlaubte SQL-Befehle in eine Anfrage einzuschleusen. In diesem Fall bedeutete das, dass Angreifer direkten Zugriff auf die Datenbank erlangen konnten, ohne dass sie sich authentifizieren mussten. Sie konnten sensible Daten auslesen, Konten übernehmen oder sogar Schadcode einspielen, der die gesamte Website kompromittierte. Besonders kritisch war, dass diese Lücke Angreifern auch die Möglichkeit bot, administrativen Zugriff zu erlangen und damit die volle Kontrolle über die betroffene Seite zu übernehmen.

Wie funktionierte der Angriff technisch?
Die Lücke befand sich im Drupal-Formular-API, genauer gesagt in der Art und Weise, wie Eingabedaten verarbeitet und in SQL-Abfragen eingebunden wurden. Da die SQL-Abfragen nicht korrekt bereinigt wurden, konnten Angreifer durch unsichere POST- oder GET-Anfragen an den Server bösartige Befehle einschleusen. In der Praxis bedeutete das, dass Angreifer mithilfe eines Skripts automatisiert die Websites durchsuchten, die anfällig waren, und in kurzer Zeit einen Massenangriff starten konnten.

Die Schwachstelle wurde durch eine Kombination aus unsicheren Standardwerten in den Anfragen und der mangelnden Validierung von Eingaben ausgelöst. Dadurch war es möglich, die Datenbankstruktur zu verändern, Benutzerdaten auszulesen und unberechtigt neue Administrator-Konten anzulegen.


Weitere Informationen und Ressourcen

Wie erdfisch mitten in die Entdeckung von Drupalgeddon geriet

Die Sicherheitslücke, die später als Drupalgeddon bekannt wurde, wurde erstmals in Deutschland entdeckt – in einem Kundenprojekt, das erdfisch gerade auf Basis von Drupal 7 für die deutsche Abteilung einer großen NGO abgeschlossen und für den Launch vorbereitet hatte.

Da über die Webseite aufgrund von Funktionalitäten wie Online-Spenden und Online-Petitionen zahlreiche Daten erhoben werden würden, die vielfach auch personenbezogen sind, hatten wir die Empfehlung ausgesprochen, das Projekt vor dem Launch einem Sicherheits-Audit durch einen spezialisierten Dienstleister zu unterziehen. Glücklicherweise legte unser Kunde ebenfalls großen Wert auf Sicherheitsaspekte und stimmte dem Audit zu.

Als Audit-Partner holten wir SektionEins ins Boot, eine Sicherheitsfirma, die wir aus früheren Projekten kannten und die einen hervorragenden Ruf genießt.

Während des Audits entdeckte SektionEins zunächst zwei kleinere Probleme in den verwendeten Modulen. Doch dann geschah etwas Unerwartetes: Sie fanden im Quellcode des Drupal-Kerns die Drupalgeddon-Lücke.

SektionEins erkannte sofort, dass hier ein äußerst schwerwiegendes Sicherheitsproblem bestand. Die Mitarbeitenden setzten sich umgehend mit uns in Verbindung, um uns über den Ernst der Lage zu informieren. Daraufhin stellten wir den direkten Kontakt zum Drupal Security Team her. Während das Security-Team an der Analyse und Behebung der Lücke arbeitete, standen wir ihnen unterstützend zur Seite. Wir halfen, die technischen Details zu klären und sorgten dafür, dass die Kommunikation zwischen allen Beteiligten reibungslos verlief.

Da wir bereits frühzeitig wussten, welcher Sturm sich zusammenbrauen würde, konnten wir uns noch vor der offiziellen Ankündigung des Security-Teams über die schwerwiegende Sicherheitslücke darauf vorbereiten und Maßnahmen ergreifen, um unsere Kundenprojekte zu schützen. Zwar erhielten wir den Sicherheits-Patch nicht vorab, jedoch konnten wir bis dahin einen wasserdichten Krisenplan entwickeln. Dieser sah vor, dass wir unmittelbar nach Veröffentlichung der Sicherheitslücke zunächst alle unsere Kundenprojekte temporär mit einer Wartungsseite vom Netz nehmen würden, sukzessive die Patches einspielen und die Websites erst dann wieder online schalten würden. Es wurde ein entsprechender Aktionsplan erstellt, wo jedem unserer Entwickler bestimmte Projekte zugewiesen und außerdem eine Rangliste erstellt wurde, nach welcher Priorität die Projekte gepatcht und wieder online geschaltet werden sollen. Und letztlich konnten wir auch die Kunden selbst mit ausreichend Vorlaufzeit über dieses Vorgehen briefen und es erläutern.

Letzten Endes ging dann alles gut: als Drupalgeddon öffentlich wurde, waren wir vorbereitet, hatten einen Plan und konnten alle unsere Kundenprojekte wie vorgesehen aktualisieren.

Das Drupal Security Team: Der unsichtbare Wächter

Was ist eigentlich das Drupal Security Team? Einfach gesagt, es ist eine Gruppe von Sicherheitsexperten, die dafür sorgt, dass Drupal als Plattform sicher bleibt. Sobald eine Schwachstelle entdeckt wird, springt das Team ein. Es analysiert das Problem, arbeitet mit Entwicklern zusammen und stellt sicher, dass es schnell und zuverlässig behoben wird – lange bevor es die Öffentlichkeit überhaupt erfährt.

Das Team ist so etwas wie die unsichtbare Schutztruppe der Drupal-Community. Wenn es aktiv wird, können Sie sicher sein, dass hinter den Kulissen hart gearbeitet wird, um Ihre Website sicher zu halten.

Unsere Herangehensweise: Sicherheitsstandards, die sich auszahlen

Durch die Entdeckung von Drupalgeddon hat sich einmal mehr bestätigt, wie wichtig es ist, Sicherheitsstandards konsequent zu befolgen. Wir bei erdfisch setzen auf bewährte Maßnahmen wie Code-Reviews, die Einhaltung von Coding-Standards und regelmäßige automatisierte Tests. Das mag für Außenstehende wie eine Menge Arbeit klingen – und das ist es auch. Aber diese Schritte sorgen dafür, dass schon kleine Fehler behoben werden, bevor sie zu großen Problemen heranwachsen.

Nachhaltige Entwicklung ist unser Ziel: Ein sauberer, wartbarer Code, der nicht nur heute, sondern auch in Zukunft sicher ist. Denn Sicherheitslücken entstehen oft durch lange vernachlässigte Strukturen – das lassen wir erst gar nicht zu.

Sicherheitsaudits: Wann sind sie sinnvoll?

Nicht jedes Projekt braucht ein umfassendes Sicherheits-Audit, aber bei komplexen und sicherheitskritischen Webseiten ist es eine Überlegung wert.

Besonders dann, wenn Ihr Unternehmen oder Ihre Einrichtung im Fokus der Öffentlichkeit steht und/oder sensible Daten verarbeitet, wie im Jahre 2014 unser NGO-Kunde, kann ein Audit entscheidend sein. Ein Beispiel dafür ist unser Projekt für Seitenbacher, bei dem wir von Anfang an mit einem Secure Space gearbeitet haben – ein Sicherheitskonzept, das speziell für den Schutz kritischer Daten entwickelt wurde.

Es gibt jedoch unterschiedliche Abstufungen bei Sicherheits-Audits. Ein tiefgehendes, externes Audit durch spezialisierte Partner wie Sektion 1 ist eine Möglichkeit, aber es muss nicht immer gleich dieser Umfang sein.

Für weniger komplexe Projekte oder spezifische Fragestellungen kann ein gezielter Audit auch von anderen Unternehmen oder internen Experten mit hoher Fachkompetenz durchgeführt werden.

erdfisch bietet selbst eine Reihe von Sicherheits-Audits an, die je nach Bedarf und Projektumfang individuell angepasst werden. Das reicht von grundlegenden Sicherheitschecks über automatisierte Tests bis zu ausführlichen Code-Reviews und Penetrationstests.

Solche Audits mögen auf den ersten Blick nach zusätzlichem Aufwand klingen, doch sie lohnen sich langfristig. Sie helfen, Risiken frühzeitig zu erkennen und zu minimieren, bevor es zu größeren Problemen kommt.

Oft können sogar kleinere Sicherheitslücken geschlossen werden, die ansonsten übersehen worden wären – und genau das kann in kritischen Momenten entscheidend sein.

Regelmäßige Wartung: So bleibt Ihre Seite sicher

Es reicht nicht, einmal eine Sicherheitslücke zu schließen und dann zur Tagesordnung überzugehen. Möglichst hohe Sicherheit zu gewährleisten ein stetiger Prozess. Und genau deshalb legen wir bei erdfisch großen Wert auf regelmäßige Wartung und Sicherheitsupdates. Nur so können Sie sicher sein, dass Ihre Seite bestmöglich gegen neue Bedrohungen geschützt ist. Denn die Bedrohungslage ändert sich ständig – und wir sind bereit, darauf zu reagieren.

Unser Appell an Sie: Bleiben Sie wachsam. Sorgen Sie dafür, dass dass Ihre Systeme auf dem neuesten Stand bleiben. Wir stehen Ihnen dabei zur Seite und kümmern uns darum, dass Ihre Website nicht nur läuft, sondern auch so sicher wie möglich bleibt.

Lassen Sie uns gemeinsam Ihre Website absichern

Wenn Sie sicherstellen möchten, dass Ihre Drupal-Website rundum geschützt ist, dann sind Sie bei uns an der richtigen Adresse. Kontaktieren Sie uns, und wir übernehmen die regelmäßige Wartung und Sicherheitsupdates für Ihre Seite. So können Sie sich entspannt zurücklehnen.

Fazit:

Drupalgeddon hat gezeigt, wie wichtig Sicherheitsbewusstsein in der digitalen Welt ist. Für uns bei erdfisch war es ein weiterer Beweis, dass unsere strengen Sicherheitsrichtlinien und regelmäßigen Audits genau der richtige Weg sind. Mit unserer Erfahrung und unserem Engagement sorgen wir dafür, dass Ihre Website auch in Zukunft sicher und leistungsstark bleibt.

 

Bildnachweis:

Tags

drupal 7 drupalgeddon sicherheit Core-Updates Sicherheitsaudit Drupal Security Team SQL-Injection Sicherheitsupdates

Weitere Artikel

DrupalCon Barcelona
| Fabian Lorenzen

Die Dries Note Barcelona 2024 - Good Bye Starshot, Hello Drupal CMS

„Wir sind zurück!“ – Neun Jahre nach unserer letzten "Mission" sind wir erneut in Barcelona. 
Einleitungsbild mit Drupal 11 Schriftzug
| Fabian Lorenzen

Drupal 11 ist da!

"Drupal's Eleven" - die neueste Fortsetzung des legendären CMS-Blockbusters ist ab heute verfügbar.