Drupalgeddon 2

Drupalgeddon 2

Geçtiğimiz hafta Drupal, Drupal sürüm 7 ve 8'i etkileyen kritik bir güvenlik açığını açıkladı.

Özet

Drupal, dünya çapında neredeyse bir milyon kullanıcıyla PHP'de yazılmış bir açık kaynak kodlu içerik yönetim yazılımıdır (CMS). Drupal’in CVE-2018-76001 olarak bilinen CMS’indeki kritik güvenlik açığı, saldırganın kötü amaçlı kodları Drupal'ın hassas bölümlerine enjekte edebilmesini sağlayan bir Uzaktan Kod Yürütme güvenlik açığıdır. Drupal, sistem yöneticileri için güvenlik açığı ve önerilen adımları açıklayan bir ön bildirim ve güvenlik danışmanı, sa-core-2018-0022 yayımladı. Drupal, yöneticileri siber suçlulara sunulan fırsat penceresini en aza indirgemek için gerekli güncellemeleri yapmaya çağırıyor. Saldırganlar şu anda bir güvenlik açığının açıklandığı gibi istismarlar geliştirebiliyorlar.

Ön bildirimle karşılaşılan bir sorun, çok sayıda yöneticinin, sürüm penceresinin 6:00 - 19:30 saatleri arasında açılmasını bekliyor olmasıydı. Sonuç olarak, çok sayıda yönetici güncellemeleri bir kerede indirmeyi denedi ve bu da Drupal sunucularını bunaltan bir sele neden oldu. Drupal, Drupal web sitesinde bulunan sürüm 8 ve 7 için bir yama yayımladı.

Arka Fon

İçerik yönetim sistemleri genellikle, hizmetlerine ve sahip oldukları verilere bağlı olan çok sayıda kullanıcı nedeniyle saldırganlar tarafından hedeflenir. Bu tehdit modeli ve yüksek oranda pozlama nedeniyle, WordPress ve Drupal gibi hizmetler, sistemlerini güncelleme ve güvenli hale getirme konusunda çok hızlıdır. Çoğu zaman, güncellemeleri yöneticilere zamanlamalarını uygun şekilde zamanlamalarına izin vermeleri için önceden bildirirler, ancak çoğu zaman göz ardı edilir ve siber suçluları hedeflemek için geniş bir yüzey alanı bırakırlar.

2014 yılında, 7.32'den önceki Drupal sürüm 7.x'i etkileyen kritik bir güvenlik açığı (CVE-2014-37043) bildirildi ve hemen düzeltildi. Drupal’ın API'sindeki bu güvenlik açığı, saldırganların hedeflenen sistemlerde rastgele SQL yürütme ile sonuçlanan özel hazırlanmış istekleri göndermesine izin verdi. Bu güvenlik açığı, dünyanın dört bir yanındaki Drupal kullanıcıları üzerindeki kritik etkisi nedeniyle Nihayetinde Drupalgeddon olarak adlandırıldı. Takip eden yıllarda, yöneticilerin sistemlerini zamanında güncelleyemedikleri için ele geçirilen bir dizi sunucu vardı.

Mevcut güvenlik açığı CVE-2018-7600, kullanıcılar üzerindeki kritik etki nedeniyle Drupalgeddon2 olarak adlandırılmıştır. Drupalgeddon'un 2014'teki çöküşü, şu anki ifşanın üzerinde hala devam ediyor; çünkü bir hafta sonra çoğu güvenlik uzmanı, bir kez daha çok sayıda yöneticinin sunucularını güncellemeyi ve mağdurun önlenebileceği bir saldırıya uğramadan başarısız olacağından endişeleniyor.

Saldırı Yöntemleri

Drupal 7 ve 8 sürümlerini etkileyen güvenlik açığı, Drupal'ın CMS'sinin birden çok alt sisteminde uzaktan kod yürütülmesidir. Uzaktaki bir saldırgan, bu güvenlik açığından yararlanabilmek için kötü amaçlı içeriğe sahip bir istek oluşturabilir. Başarılı bir istismar, bir Drupal sunucusunun uzaktan kod enjeksiyonuna yol açabilir ve bu da sunucunun tamamen tehlikeye girmesine yol açabilir. Uzaktan kod yürütme saldırıları veya kötü amaçlı kod veya komutların, hedeflenen bir makinede hassas bilgilerin ve / veya kötüye kullanım sisteminin işlevselliğini ayıklamak için çalıştırılması, sunucunun tam denetlenmesine neden olabilir.

Endişe Nedenleri

Endişe etmenin nedeni, sistem yöneticilerinin Drupal sunucularının yamaları için gereken süredir. 2014 yılında, çok sayıda site, sunucularını yatırmadaki başarısızlık nedeniyle CVE-2014-3704'ten (Drupalgeddon) saldırıya uğradı. Drupal bir güncelleme yayımladı ve kritik güncellemeye hazırlanmak için yöneticilere bolca zaman verdi. Kullanıcılar Drupal sunucularını güncellemezlerse, saldırganların sistemlerini tamamen tehlikeye atmak amacıyla uzaktan kod enjeksiyon saldırılarıyla sistemlerini hedeflemelerini bekleyebilirler. Sonuç olarak, bir saldırgan hassas bilgilere ve kötüye kullanım sistem işlevselliğine erişebilir.

Bu fırsat penceresi sırasında saldırganlar, güncellenmiş olmayan sunucuları hedeflemek için hızlı bir şekilde betik oluşturabilirler. Radware, bir güvenlik açığının yayımlandığı aynı günde bir botnet oluşturulmasına neden olan bu davranışa tanıklık etmiştir.

Öneriler

Radware’in önerisi, Drupal’ın önerisine göre mevcut sürümünüzle en yakından ilişkili olan yamalanmış sürümüne geçmek. Drupal 7 veya 8'in en son sürümüne geçin. 7.x çalıştırıyorsanız, 7.58 sürümüne yükseltin veya 8.5.x sürümü kullanıyorsanız Drupal 8.5.1'e yükseltin.