Drupalgeddon: hoe Calibrate de Drupal security updates aanpakte

Bij Calibrate staat de veiligheid van onze websites centraal. Naast het bouwen van websites zorgen wij er ook voor dat - door regelmatig onderhoud - elke site in tip-top shape blijft. Bij regelmatig onderhoud hoort ook het tijdig ingrijpen wanneer er een beveiligings-release uitkomt.

Beveiligings-releases worden uitgebracht door het Drupal Security team, een groep van vrijwilligers die waakt over de veiligheid van Drupal. Drupal is een open source content management systeem gebruikt op miljoenen websites wereldwijd. De laatste weken werden er door dit team 2 belangrijke beveiligingslekken ontdekt in alle recente versies van dit populaire CMS. Om bedrijven en instellingen voldoende tijd te geven om hun websites bij te werken, werden beide security releases op voorhand aangekondigd door een zogenaamde Security Public Service Announcement (kortweg PSA).

Het op voorhand aankondigen van een security release op zich is uitzonderlijk: normaal vinden security releases plaats tijdens zogenaamde “release windows”, een op voorhand vastgelegde periode (voor Drupal is dit meestal de derde woensdag van elke maand). Dit laat gebruikers van Drupal toe om tijd vrij te maken en tijdig in te kunnen grijpen als er een release plaatsvindt.

Voor de 2 gevonden lekken werd tot tweemaal toe afgeweken van deze standaard release windows. Afwijkingen van deze vaste tijdstippen gebeuren enkel voor kritieke bugs, of in het geval van “exploits in the wild”. Dit laatste wil zeggen dat er reeds gedocumenteerde gevallen van kwaadwillig misbruik bekend zijn, en het dus cruciaal is om zo snel mogelijk alle sites te beveiligen. In beide gevallen werd door het security team ook duidelijk aangeven dat de bugs kritiek waren.

De informatie over de nakende release was beperkt tot wat er vermeld werd in beide aankondigingen. Hierin stonden echter een aantal belangrijke punten waarmee wij aan de slag konden. 

• De release zou worden uitgebracht als één of meerdere patches. Een patch is een bestand dat gebruikt kan worden om bestaande code eenvoudig te wijzigen. 
• Na de release dienden er geen “database updates” te gebeuren. Database updates wijzigen de structuur of bestaande data. Het uitvoeren van database updates neemt echter meer tijd in beslag, en brengt extra risico’s en werk met zich mee.

Om zo snel mogelijk na het verschijnen van de releases al onze websites up-to-date te kunnen brengen, staken we in de week voor de eerste security release de koppen bij elkaar om een actieplan op te stellen. Voor alle sites die “intern” gehost worden, ontwikkelde Calibrate een tool om op automatische wijze alle code met een druk op de knop bij te werken. Voor sites van klanten die niet bij ons gehost worden, werd er een draaiboek opgesteld om snel en gecoördineerd de update manueel te kunnen doorvoeren.

Op woensdag 28 maart en woensdag 25 april waren onze ontwikkelaars en systeembeheerders vanaf 18u paraat op onze 3 locaties (Gent, Antwerpen en Leuven) om direct na het uitkomen van de releases alle door ons beheerde websites up-to-date te brengen.

In de nasleep van beide releases werd pas duidelijk hoe belangrijk deze inspanningen waren. De gedichte lekken betroffen een “Remote Code Execution”-probleem, waarbij een aanvaller via een eenvoudige aanvraag naar de website een stukje code kan laten uitvoeren op de server waarop die website staat. Op die manier kan de aanvaller zich toegang verschaffen tot die website en de server. 

Op dit moment wordt er reeds op grote schaal gebruik gemaakt van botnets om bestaande (niet up-to-date) Drupal sites aan te vallen, en misbruik te maken van de beveiligingslekken (ondertussen omgedoopt tot Drupalgeddon2). Zo rapporteerde Dries Buytaert, oorspronkelijke ontwikkelaar van Drupal en huidige CTO van Acquia, meer dan 20.000 aanvallen per uur op Drupal websites die op het Acquia-platform gehost worden. 

Dankzij snel ingrijpen van ons team hoeft u zich hierover geen zorgen te maken. 

Calibrate houdt de vinger stevig aan de pols wat de veiligheid van uw website betreft!

Meer lezen:

• Drupal 7 and 8 core critical release on April 25th, 2018 PSA-2018-003
• Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004
• FAQ about SA-CORE-2018-002
• Drupal users take cover—code-execution bug is being actively exploited [updated]