Drupalgeddon

Hakkeroiko joku verkkosivusi?

Mikko Hämäläinen
22.10.2015
|
Mikko Hämäläinen

Lokakuussa 2014 Drupal-maailmassa kohahti. Pelikaani oli niin sanotusti lentänyt tuulettimeen ja Drupal-ytimen versiosta 7.31 oli löytynyt hakkerin mentävä tietoturva-aukko. Internet-maailmassa ei bugin löytyminen sovelluksesta yleensä ylitä uutiskynnystä, mutta nyt kyseessä oleva rööri oli niin eeppistä luokkaa, että se sai kuvaavan nimen "Drupalgeddon".

Lokakuun 15. päivä löydetty tietoturvareikä oli tuikitavallinen SQL-injektiobugi, jollaisia suurin osa kriittisistä bugeista tuppaa olemaan. Bugin ansiosta hakkeri pystyi ajamaan haluamansia komentoja Drupalin pääasiallisena tietovarastona olevassa SQL-tietokannassa verkkosivulla olevan lomakkeen kautta. Erityisen vakavaksi bugin teki muutama asia: bugin avulla hyökkääjä sai koko sivuston haltuunsa, se koski kaikkia aikaisempiakin Drupal 7 -versioita, ja sitä alettiin hyödyntää koneellisesti jo muutaman tunnin kuluttua tietoturva-aukon julkistamisesta.

Vaikka Drupal on yhteisön ylläpitämä sovellus, sen tietoturvaa valvoo organisoidusti erillinen tietoturvatiimi, joka ottaa vastaan bugiraportteja, tiedottaa ongelmista ja valvoo niiden korjausta. Tietoturvaongelmista ilmoitetaan hyvän tavan mukaisesti kun korjaus on saatavilla ja varmistetaan, että ylläpitäjillä on mahdollisuus päivittää haavoittuvat järjestelmät. Turvatiimi julkaisi tiedon SQL-injektiobugista (DRUPAL-SA-CORE-2014-005) korjauksen kera (Drupal-versio 7.32) 15.10.2014 klo 18:04. Muutamia tunteja tiedotteen julkistamisen jälkeen alkoivat hakkereiden ohjelmoimat robotit skannata haavoittuvia koneita tietoverkosta ja murtaa niitä automatiikkansa avulla.

Mikäli tietoturva-aukkoa ei ollut paikattu noin seitsemän tunnin kuluessa sen julkistamisesta, voitiin palvelu hyvällä syyllä olettaa hakkeroiduksi. Ne, joiden palvelut olivat aktiivisessa ylläpidossa, selvisivät suurilta osin säikähdyksellä. Suurimmiksi kärsijiksi muodostuivat tahot, joilla ei ollut ylläpitosopimusta Drupal-ammattilaisen kanssa. Itse tiedotimme asiakkaillemme ongelmasta kolmen tunnin sisällä korjauksen julkistamisesta ja samalla päivitimme heidän palvelunsa ylläpitosopimuksen kattavuuteen katsomatta.

Tietoturvatiimiä on turhaan parjattu siitä, että vaikka tiimi tiesi aukosta jo syyskuun lopulla, julkaistiin korjaus vasta lokakuussa. Syynä venyttämiseen oli se, että maailman suurin Drupal-tapahtuma ajoittui juuri noille tienoille. Hakkerit olisivat siis olleet valmiina koneidensa äärellä, mutta suurimpien sivustojen ylläpitäjät työmatkalla vieraalla maalla. Tiettävästi kenenkään saittia ei murrettu viivästyksen vuoksi, ja ajoittamalla päivitys viralliseen päivitysikkunaan saatiin tieto leviämään mahdollisimman laajalle.

Sovelluksista löytyy bugeja aina. Mitä isompi sovellus, sitä enemmän niitä sinne mahtuu. Drupal ei luonnollisestikaan ole poikkeus, mutta sovelluksen kypsyys ja sen laaja käyttö osana verkkoliiketoimintaa ovat todennäköisesti tehneet siitä montaa muuta avoimen lähdekoodin sovellusta bugivapaamman.

Vaikka Drupalgeddonin kohu on jo laantunut, on internetissä vielä koko joukko sivustoja, jotka käyttävät haavoittuvaa Drupal-versiota ja toimivat todennäköisesti hakkereiden leikkikenttänä. Me olemme tehneet kevään aikana useille uusille asiakkuuksille tietoturva-auditointeja, joissa koitetaan kaivaa hakkereiden virityksiä esille. Ongelmana näissä on se, että kun sivusto on kerran murrettu, viritetään sinne hakkereiden toimesta tusina muuta haavoittuvuutta, joiden avulla sivustoon päästään käsiksi, vaikka alkuperäinen ongelma olisikin paikattu.

CHANGELOG.txt kun kaikki on kunnossaJos oma Drupalisi mietityttää, voit ehkä kirjautumattakin nähdä sen versionumeron navigoimalla sivustollasi osoitteeseen http://www.sinun-sivustosi.fi/CHANGELOG.txt. Jos päällimmäinen versionumero on 7.31 tai matalampi (tai sivustollasi mainostetaan tahtomattasi potenssilääkkeitä), ota ihmeessä yhteyttä niin katsotaan yhdessä, mihin toimiin ryhdytään!

Haluatko tietää lisää?

Ota yhteyttä