Home Teknoloji Bilgisayar korsanları WordPress eklentisinin güvenlik açığından yararlanmak için milyonlarca girişimde bulunuyor

Bilgisayar korsanları WordPress eklentisinin güvenlik açığından yararlanmak için milyonlarca girişimde bulunuyor

34
0

Getty Images

Araştırmacılar, bilgisayar korsanlarının, önde gelen bir WordPress eklentisini kullanarak web sitelerine saldırdığını ve tam ele geçirmeye izin veren yüksek önemdeki bir güvenlik açığından yararlanmak için milyonlarca girişimde bulunduğunu söyledi.

Güvenlik açığı, 38.000’den fazla ödeme yapan müşteriye sahip bir eklenti olan WordPress Otomatik’te bulunuyor. WordPress içerik yönetim sistemini çalıştıran web siteleri, bunu diğer sitelerden içerik eklemek için kullanır. Güvenlik firması Patchstack’tan araştırmacılar geçen ay, WP Otomatik 3.92.0 ve altındaki sürümlerde, olası 10 üzerinden 9,9 önem derecesine sahip bir güvenlik açığı bulunduğunu açıkladı. Eklenti geliştiricisi ValvePress, 3.92 sürümünde mevcut olan bir düzeltme ekini sessizce yayınladı. 1 ve ötesi.

Araştırmacılar, CVE-2024-27956 olarak takip edilen kusuru, bir web uygulamasının arka uç veritabanlarını düzgün bir şekilde sorgulamadaki başarısızlığından kaynaklanan bir güvenlik açığı sınıfı olan SQL enjeksiyonu olarak sınıflandırdılar. SQL sözdizimi, bir veri dizisinin başlangıcını ve sonunu belirtmek için kesme işaretlerini kullanır. Saldırganlar, güvenlik açığı bulunan web sitesi alanlarına özel olarak konumlandırılmış kesme işaretlerine sahip dizeler girerek, gizli verileri döndürmek, yönetim sistemi ayrıcalıkları vermek veya web uygulamasının çalışma şeklini bozmak gibi çeşitli hassas eylemleri gerçekleştiren kodu çalıştırabilir.

Patchstack araştırmacıları 13 Mart’ta “Bu güvenlik açığı son derece tehlikeli ve kitlesel olarak istismar edilmesi bekleniyor” diye yazdı.

Diğer web güvenliği firması WPScan Perşembe günü yaptığı açıklamada, Patchstack’ın 13 Mart’ta yaptığı açıklamadan bu yana güvenlik açığından yararlanmaya yönelik 5,5 milyondan fazla girişimde bulunduğunu kaydetti. WPScan, girişimlerin yavaş yavaş başladığını ve 31 Mart’ta zirveye ulaştığını söyledi. Firma, bu girişimlerden kaçının başarılı olduğunu söylemedi.

WPScan, CVE-2024-27596’nın kimliği doğrulanmamış web sitesi ziyaretçilerinin yönetici düzeyinde kullanıcı hesapları oluşturmasına, kötü amaçlı dosyalar yüklemesine ve etkilenen sitelerin tam kontrolünü ele geçirmesine olanak tanıdığını söyledi. Eklentinin kullanıcı kimlik doğrulamasını nasıl işlediğiyle ilgili olan güvenlik açığı, saldırganların normal kimlik doğrulama sürecini atlamalarına ve kendilerine yükseltilmiş sistem ayrıcalıkları sağlayan SQL kodunu eklemelerine olanak tanıyor. Buradan, site sahibinin veya diğer bilgisayar korsanlarının ele geçirilen siteyi kontrol etmesini önlemek için hassas dosyaları yeniden adlandıran kötü amaçlı yükleri yükleyebilir ve çalıştırabilirler.

Reklamcılık

Başarılı saldırılar genellikle şu süreci takip eder:

SQL Enjeksiyonu (SQLi): Saldırganlar, yetkisiz veritabanı sorguları yürütmek için WP‑Otomatik eklentisindeki SQLi güvenlik açığından yararlanır. Yönetici Kullanıcı Oluşturma: Rastgele SQL sorguları yürütme yeteneği sayesinde saldırganlar, WordPress’te yeni yönetici düzeyinde kullanıcı hesapları oluşturabilir. Kötü Amaçlı Yazılım Yükleme: Yönetici düzeyinde bir hesap oluşturulduktan sonra, saldırganlar, güvenliği ihlal edilen web sitesinin sunucusuna, genellikle web kabukları veya arka kapılar gibi kötü amaçlı dosyalar yükleyebilir. Dosyayı Yeniden Adlandırma: Saldırgan, güvenlik açığı bulunan WP‑Otomatik dosyayı yalnızca kendisinin yararlanabileceğinden emin olmak için yeniden adlandırabilir.

WPScan araştırmacıları şunları açıkladı:

Bir WordPress sitesinin güvenliği ihlal edildiğinde, saldırganlar arka kapılar oluşturarak ve kodu gizleyerek erişimin uzun ömürlü olmasını sağlar. Saldırganlar, tespitten kaçınmak ve erişimi sürdürmek için güvenlik açığı bulunan WP‑Otomatik dosyayı yeniden adlandırabilir ve bu da web sitesi sahiplerinin veya güvenlik araçlarının sorunu tanımlamasını veya engellemesini zorlaştırır. Bunun, saldırganların diğer kötü aktörlerin zaten güvenliği ihlal edilmiş olan sitelerinden başarılı bir şekilde yararlanmalarını engellemek için buldukları bir yol olabileceğini de belirtmekte fayda var. Ayrıca, saldırgan edindiği yüksek ayrıcalıkları siteye eklentiler ve temalar yüklemek için kullanabildiğinden, ele geçirilen sitelerin çoğunda kötü niyetli kişilerin dosya yüklemelerine veya kod düzenlemelerine olanak tanıyan eklentiler yüklediklerini fark ettik.

Saldırılar, ValvePress’in sürüm notlarında kritik yamadan bahsetmeden 3.92.1 sürümünü yayınlamasından 15 gün sonra, 13 Mart’tan kısa bir süre sonra başladı. ValvePress temsilcileri açıklama isteyen bir mesaja hemen yanıt vermedi.

Patchstack ve WPScan’deki araştırmacılar CVE-2024-27956’yı SQL enjeksiyonu olarak sınıflandırırken deneyimli bir geliştirici, güvenlik açığına ilişkin okumasının bunun ya uygunsuz yetkilendirme (CWE-285) ya da uygunsuz erişim kontrolünün bir alt kategorisi (CWE-284) olduğunu söyledi.

Adını kullanmak istemeyen geliştirici, çevrimiçi bir röportajda “Patchstack.com’a göre programın bir SQL sorgusu alması ve yürütmesi gerekiyor, ancak yalnızca yetkili bir kullanıcıdan” diye yazdı. “Güvenlik açığı, sorguyu yürütmeden önce kullanıcının kimlik bilgilerini nasıl kontrol ettiği ve saldırganın yetkilendirmeyi atlamasına olanak sağlamasıyla ilgilidir. SQL enjeksiyonu, saldırganın SQL kodunu yalnızca veri olması gereken bir şeye yerleştirmesidir, ancak burada durum böyle değil.”

Sınıflandırma ne olursa olsun, güvenlik açığı olabildiğince şiddetlidir. Kullanıcılar eklentiyi derhal yamamalıdır. Ayrıca, yukarıda bağlantısı verilen WPScan gönderisinde sağlanan risk verilerinin göstergelerini kullanarak, kötüye kullanım işaretleri açısından sunucularını dikkatli bir şekilde analiz etmelidirler.

Kaynak

LEAVE A REPLY

Please enter your comment!
Please enter your name here