Dünyanın en popüler 2. içerik yönetim sistemi Joomla geçtiğimiz hafta içerisinde ortaya çıkartılan birtakım açıklar nedeniyle bir süredir saldırı altında.
Güvenlik duyuruları 20161001 (CVE-2016-8870) ve 20161002 (CVE-2016-8869) Joomla’nın kullanıcı kayıt kodundaki açıkların saldırganlara “kayıt seçeneğinin devre dışı olduğu durumlarda bir siteye kaydolma” ve sonra “arttırılmış ayrıcalıklarla kaydolma” imkanı tanıyabileceği ifade ediliyor. Başka bir deyişle, bu açıklar Joomla ile çalışan sitelerin kilidini kolayca açmak için kullanılabiliyor. Bu şekilde açığı olduğu tespit edilen Joomla sitelerin sayısının milyonlarca olduğu söyleniyor.
Bahsi geçen Joomla açıklarına “filtrelenmemiş verinin yanlış kullanımı” ve “yetersiz kontroller” neden oluyor. Joomla’nın 3.4.4’ten 3.6.3’e kadar tüm sürümleri bu açıktan etkilenmiş durumda. Halen Joomla’nın yamalanmamış bir sürümünü kullanmakta olanlar vakit kaybetmeden 3.6.4’e geçmeli ve sistemini olası risklere karşı didik didik kontrol etmeli.
3.6.4 güncellemesi sorunlu kodu tamamen siliyor ve bu açıkla bağlantılı üçüncü bir açık olan 20161003’i de (CVE-2016-9081) ortadan kaldırıyor.
Bu açıkların ortaya çıkmasından sonra saldırılarda öyle bir atış oldu ki web güvenliği şirketi Sucuri Joomla sitesi olanlara sitelerinin çoktan hacklenmiş olduğunu varsayabileceklerini söylüyor: “Saldırılarda görülen ani artış nedeniyle, güncellenmemiş tüm Joomla sitelerinin büyük ihtimalle hacklenmiş olduğunu düşünüyoruz.”
Benzer bir mesaj 2014 yılında Drupal’de benzer bir kritik açık tespit edildiğinde verilmiş, açığı kapatacak yamanın yayınlanmasının hemen ardından başlayan otomatik saldırılar sonucunda Drupal site sahipleri zor anlar yaşamıştı.
WordPress, Drupal ve Joomla gibi popüler içerik yönetim sistemlerinin başarıları bu sistemleri cazip hedefler haline getiriyor ve tek bir açık bile saldırganlara milyonlarca hedefe saldırı düzenleme fırsatını veriyor.
Geçtiğimiz hafta içerisinde Joomla’da tespit edilenler kadar ciddi açıklara neyse ki nadiren rastlanıyor ama bir yandan da tek bir içerik yönetim sistemindeki uzaktan istismar edilebilir açık çok hızlı bir şekilde diğer sistemlere de yayılabiliyor. Hacklenmiş siteler doğrudan botnetlere bağlanabiliyor ve kötü amaçlı yazılımları dağıtılmak, milyarlarca spam e-posta yollamak veya DDoS saldırıları düzenlemek için kullanılabiliyor.
Modern içerik yönetim sistemi yazılımlarının başarısı kısmen teknik bilgisi zayıf kullanıcılara sundukları güçten geliyor ama aynı güç güvenlik bakımından da ciddi tehditleri beraberinde getiriyor.
Son olarak, bir yamanın ne zaman yayınlandığı değil, ne zaman uygulandığı önemli. Bu yüzden özellikle Drupal ve Joomla’nın WordPress’in açtığı yolu takip etmeleri ve otomatik güvenlik güncellemelerini varsayılan olarak yazılımlarına eklemeleri büyük önem teşkil ediyor.