Hindistan Bilgisayar Acil Durum Müdahale Ekibi (CERT-In), yaygın olarak kullanılan içerik yönetim sistemi (CMS) Drupal’daki bazı kritik güvenlik açıklarını vurgulayan bir Güvenlik Açığı Notu CIVN-2024-0353 yayınladı. Drupal’ın 7’den 11’e kadar olan sürümlerini kapsayan güvenlik açıkları, Yetkisiz erişim, keyfi kod yürütme ve veri hırsızlığına maruz kalma potansiyelleri nedeniyle yüksek güvenlik riski taşıdığı kabul edilir.
Kullanıcı girişlerinin hatalı işlenmesi, belirli modüllerdeki yetersiz temizlik ve PHP Object Injection ile bağlantılı olası güvenlik açıklarından kaynaklandığı belirlenen kusurlar, saldırganların sitenin bütünlüğünü tehlikeye atmasına, hassas verilere erişmesine veya kötü amaçlı komut dosyaları çalıştırmasına olanak tanıyabilir.
Drupal Güvenlik Açıklarından Etkilenen Sürümler ve Riske Genel Bakış
Açık kaynaklı bir CMS olan Drupal, kişisel bloglardan büyük kurumsal platformlara kadar çok sayıda web sitesine güç sağlar. Güvenlik açığı notlarına göre, Drupal çekirdeğinde durum mesajlarının uygunsuz şekilde temizlenmesi, belirli kullanıcı alanlarının kontrol edilememesi ve PHP Object Injection’a izin verebilecek güvenlik açıkları gibi kusurlar nedeniyle birden fazla güvenlik açığı bulunmaktadır. Bu kusurlar özellikle aşağıdakilerden önceki sürümleri çalıştıran yöneticiler için endişe vericidir:
- Drupal 7 (7.102 sürümünden önce)
- Drupal 10.2 (10.2.11 sürümünden önce)
- Drupal 10.3 (10.3.9 sürümünden önce)
- Drupal 11.0 (11.0.8 sürümünden önce)
Temel endişe, bu güvenlik açıklarının uzaktaki saldırganlar tarafından siteler arası komut dosyası çalıştırma (XSS) saldırıları gerçekleştirmek, rastgele kod yürütmek ve hatta hassas kullanıcı verilerini çalmak için kullanılabilmesidir. Güncel olmayan sürümlere sahip Drupal tabanlı siteler için, bu güvenlik açıklarından, saldırganların karmaşık teknik bilgisi gerektirmeden yararlanılabilir.
Önemli Drupal Güvenlik Açıkları ve Açıklardan Yararlanmalar
Raporda özetlenen en kritik Drupal güvenlik açıklarından biri, SA-CORE-2024-003’te tanımlanan Siteler Arası Komut Dosyası Çalıştırma (XSS) sorunudur. Bu güvenlik açığı Drupal 8.8’den Drupal 10.2.11’e, Drupal 10.3.0’dan Drupal 10.3.9’a ve Drupal 11.0.0’dan Drupal 11.0.8’e kadar olan sürümleri etkilemektedir. Drupal, bazı yapılandırmalarda durum mesajlarını oluşturmak için JavaScript kullanır ve bazı durumlarda bu mesajlar uygun şekilde temizlenmez. Bu temizlik eksikliği, saldırganların istemci tarafında çalıştırılabilecek, kullanıcıların oturumlarını tehlikeye atabilecek veya onlar adına yetkisiz eylemler gerçekleştirebilecek kötü amaçlı komut dosyaları eklemesine kapıyı açar.
Tespit edilen bir diğer önemli güvenlik açığı ise SA-CORE-2024-004’te bulunan Erişim Atlama sorunudur. 8.0.0 – 10.2.11, 10.3.0 – 10.3.9 ve 11.0.0 – 11.0.8 sürümlerini etkileyen bu güvenlik açığı, belirli kullanıcı alanlarına yönelik benzersizlik kontrolünün tutarsız olması nedeniyle ortaya çıkar. Veritabanı motoruna ve harmanlama ayarlarına bağlı olarak, saldırganlar bu kusurdan yararlanarak birden fazla kullanıcının aynı e-posta adresiyle kaydolmasına izin verebilir ve bu da potansiyel veri bütünlüğü sorunlarına yol açabilir.
Daha fazla endişe verici güvenlik açığı SA-CORE-2024-006 ve SA-CORE-2024-007’de açıklanan PHP Nesne Enjeksiyonu sorunlarını içerir. Bu güvenlik açıkları, doğrudan yararlanılamaz olduğundan daha az kritik olarak kabul edilir. Ancak başka bir güvenlik açığıyla birleştirilirse uzaktan kod yürütülmesine veya dosyaların rastgele silinmesine yol açabilir. Sorun, nesne seri durumdan çıkarma işleminin hatalı işlenmesi nedeniyle ortaya çıkıyor. Doğrudan herhangi bir açıktan yararlanma tespit edilmemiş olsa da, yöneticilerin, özellikle de siteleri üçüncü taraf veritabanı sürücülerini kullanıyorsa yine de dikkatli olmaları gerekir.
Etki Değerlendirmesi ve Çözüm Önerileri
Drupal’deki bu güvenlik açıklarından yararlanılması, veri hırsızlığından kötü amaçlı yazılım yayılmasına kadar ciddi sonuçlara yol açabilir. Saldırganların keyfi kod yürütme veya kullanıcı verilerini manipüle etme potansiyeli, özellikle hassas veya kritik bilgileri depolamak için Drupal’a güvenen kuruluşlar için önemli bir endişe kaynağıdır. Güncel olmayan sürümleri çalıştıran siteler en büyük risk altındadır ve yöneticilerin derhal harekete geçmesi tavsiye edilir.
Bu riskleri azaltmak için Drupal yöneticilerine sistemlerini en son sürümlere güncellemeleri şiddetle tavsiye edilir. Güvenlik güncellemeleri aşağıdaki gibidir:
- Drupal 7’yi 7.102’ye güncelleyin
- Drupal 10.2’yi 10.2.11’e güncelleyin
- Drupal 10.3’ü 10.3.9’a güncelleyin
- Drupal 11.0’ı 11.0.8’e güncelleyin
Güncellemeye ek olarak Drupal yöneticilerinin, özellikle Drupal çekirdeğiyle etkileşime girebilecek özel modüller veya üçüncü taraf uygulamaları kullanırken mevcut yapılandırmalarını gözden geçirmeleri önerilir. Bu, özellikle kullanıcı girişi temizleme veya güvenli olmayan nesne işlemeyle ilgili olanlar olmak üzere mevcut güvenlik açıklarının gözden kaçırılmamasını sağlamaya yardımcı olacaktır.
Satıcı Yanıtı ve Sürekli İzleme
Drupal Güvenlik Ekibi bu güvenlik açıklarını gidermek için aktif olarak çalışıyor. İlk raporlar ve düzeltmeler aşağıdaki gibi ekip üyeleri tarafından koordine edildi: Lee Rowlands, Greg Knaddison ve Drew Webberdaha geniş Drupal güvenlik topluluğunun desteğiyle. En son güvenlik güncellemeleri ve yamaları aşağıdaki adresteki resmi Drupal güvenlik tavsiyelerinden edinilebilir:
Ek olarak Drupal topluluğu, yöneticilere kurulumlarına yama yapma ve güvenliklerini sağlama konusunda yardımcı olacak talimatlar sağlamıştır. Kötüye kullanım riskini azaltmak için CIVN-2024-0353 ve diğer ilgili tavsiyelere uymaya önem verilmektedir.
İlgili