Hindistan Siber Acil Müdahale Ekibi (CERT-IN), açık kaynaklı web içeriği yönetim sistemi Drupal’daki güvenlik açıkları hakkında bir uyarı yayınladı.
“Drupa Güvenlik Açığı” olarak kategorize edilen Dosya Seçici Alanı modülündeki Drupal güvenlik açıklarına, CERT-In tarafından YÜKSEK önem derecesi atanmıştır.
Bu Drupal güvenlik açıkları ele alınmadığı takdirde, saldırganların Sunucu Tarafı İstek Sahtekarlığından (SSRF) yararlanmalarına ve hassas bilgilere yetkisiz erişim elde etmelerine izin verebilir.
Drupal güvenlik açıkları, Drupal dosya seçici alan modülü içindeki kullanıcı tarafından sağlanan girdinin yanlış bir şekilde doğrulanmasından kaynaklanır. Bu girdinin dikkatli bir şekilde manipüle edilmesiyle, kötü niyetli aktörler, hedeflenen sistemde saklanan değerli bilgilerin açığa çıkmasına yol açabilen SSRF saldırıları gerçekleştirebilir.
Bu Drupal güvenlik açıklarının ciddiyeti göz önüne alındığında, etkilenen kullanıcıların riskleri azaltmak için derhal harekete geçmesi gerekir.
Drupal güvenlik açıklarını düzeltme: Şimdi güncelleyin!
Bu Drupal güvenlik açıklarını etkili bir şekilde ele almak için Drupal Güvenlik Ekibi, uygun yamaların uygulanmasını öneren güvenlik önerileri yayınladı.
Danışmanlık kılavuzlarına https://www.drupal.org/sa-contrib-2023-015 adresindeki resmi Drupal web sitesinden erişilebilir. Kullanıcılar, bu danışma belgelerinde belirtilen yönergeleri izleyerek sistemlerini güvenli hale getirebilir ve olası istismarlara karşı koruyabilir.
Kullanıcıların Google Drive ve Dropbox gibi üçüncü taraf eklentileri kullanarak dosya yüklemesine olanak tanıyan Dosya Seçici Alan modülü, bu Drupal güvenlik açıklarına karşı özellikle savunmasızdı.
Bu modül, SSRF saldırılarına ve ardından hassas bilgilerin ifşasına kapı açan kullanıcı girişini yeterince doğrulamaz.
Alışılmadık bazı yapılandırmalarda ve senaryolarda, bu Drupal güvenlik açıklarından yararlanmanın Uzaktan Kod Yürütmeye bile yol açabileceğini ve sorunun derhal ele alınmasının aciliyetini daha da vurguladığını belirtmekte fayda var.
Drupal kurulumunuzun güvenliğini sağlamak için, şu anda 7.x-1.x sürümünü kullanıyorsanız, Dosya Seçici Alan modülünün en son sürümüne, özellikle 7.x-1.13 sürümüne yükseltmeniz çok önemlidir.
Bu güncellemeyi uygulayarak sisteminizi potansiyel SSRF saldırılarına karşı koruyabilir ve bilgilerin açığa çıkması riskini azaltabilirsiniz.
Drupal Güvenlik Ekibi’nden Drew Webber ve George Hazlewood ilk olarak Dosya Seçici Alan modülündeki güvenlik açıklarını bildirdiler.
. Ardından, Drew Webber ve aaron.ferris liderliğindeki Drupal Güvenlik Ekibi, tespit edilen güvenlik açıkları için düzeltmeler geliştirmek için özenle çalıştı.
Koordinasyon çabaları, bu güvenlik endişelerini gidermek için gerekli adımların atılmasını sağlamada çok önemli bir rol oynayan Greg Knaddison tarafından denetlendi.
Özetlemek gerekirse, Drupal Dosya Seçici Alanı modülünde bu Drupal güvenlik açıklarının keşfedilmesi, web uygulamalarındaki güvenlik açıklarının derhal ele alınmasının önemini vurgulamaktadır.
Drupal kullanıcıları, önerilen yamaları uygulayarak ve modülün en son sürümüne yükselterek, sistemlerini potansiyel SSRF saldırılarına ve bilgi ifşası risklerine karşı güçlendirebilir.
Güvenlik tavsiyelerini düzenli olarak izlemek ve gerekli güncellemeleri derhal uygulamak, hassas verilerin korunması ve web platformlarının bütünlüğünün sürdürülmesi açısından hayati önem taşır. Güvenli bir ortam sağlamak için siber güvenlik yaklaşımınızda uyanık ve proaktif kalın.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.