Een kwetsbaarheid voor sql-injectie die eerder deze maand in Drupal werd gevonden, wordt actief misbruikt. Het contentmanagementsysteem waarschuwt beheerders van een Drupal-installatie dat ze zijn geïnfecteerd als ze het lek nog niet hebben gepatcht.
Elke Drupal-installatie die niet binnen zeven uur na het verschijnen van de patch op 15 oktober is bijgewerkt moet als gecompromitteerd worden beschouwd, waarschuwt het cms. Dat komt doordat aanvallers geautomatiseerd zouden hebben gezocht naar Drupal-installaties die kwetsbaar waren voor het beveiligingslek. Dat lek laat aanvallers eigen sql-code injecteren. De kwetsbaarheid kan er bovendien toe leiden dat aanvallers eigen php-code kunnen injecteren.
Wie Drupal nog niet heeft bijgewerkt naar de nieuwste versie, is dan ook te laat, blijkt uit de waarschuwing. Het installeren van de patch zorgt er namelijk niet voor dat bestaande backdoors worden verwijderd. In het geval van besmetting is het aan te raden om een back-up van voor 15 oktober terug te plaatsen en deze vervolgens meteen te patchen. Het is zelfs aan te raden om een nieuwe server te nemen, aldus Drupal, of op zijn minst alle websites en databases te verwijderen.
Het is onbekend waar dat laatste advies uit voortvloeit; mogelijk is Drupal bang dat aanvallers vanuit php andere delen van het systeem hebben aangetast. Als de php-installatie het uitvoeren van shell-commando's toestaat, kan het zelfs zo zijn dat aanvallers hebben gezocht naar andere beveiligingsproblemen om hogere systeemrechten te krijgen.