Son dönemde WordPress için geliştirilen eklentilerde ciddi güvenlik açıkları bulunmaya başladı. Bu tespitlerin sonuncusu ise WordPress için geliştirilen WP Automatic eklentisindeki kritik önemdeki bir güvenlik açığı oldu. Söz konusu açık yönetici ayrıcalıklarına sahip kullanıcı hesapları oluşturmak ve uzun süreli erişim için arka kapılar yerleştirmek üzere kullanılıyor.
Şu anda 30.000’den fazla web sitesinde kurulu olan WP Automatic, yöneticilerin çeşitli çevrimiçi kaynaklardan içerik içe aktarma (ör. metin, resim, video) ve WordPress sitelerinde yayınlama işlemlerini otomatikleştirmelerine olanak tanıyor. İstismar edilen güvenlik açığı CVE-2024-27956 olarak tanımlanmış ve 10 üzerinden 9.9’luk bir önem derecesi puanı almış durumda. Söz konusu açık PatchStack güvenlik açığı azaltma servisindeki araştırmacılar tarafından 13 Mart tarihinde kamuya açıklanmış ve 3.9.2.0 öncesi WP Automatic sürümlerini etkileyen bir SQL enjeksiyon sorunu olarak tanımlanmış.
Söz konusu WordPress eklentisinin kullanıcı kimlik doğrulama mekanizması, sitenin veritabanına SQL sorguları göndermek için atlanabiliyor. Bilgisayar korsanları, hedef web sitesinde yönetici hesapları oluşturmak için özel olarak hazırlanmış sorguları kullanabiliyorlar.
5,5 milyondan fazla saldırı girişimi
PatchStack’in güvenlik sorununu açıklamasından bu yana, Automattic’in WPScan’i güvenlik açığından yararlanmaya çalışan 5,5 milyondan fazla saldırı gözlemledi ve bunların çoğu 31 Mart’ta kaydedildi. WPScan, hedef web sitesine yönetici erişimi elde ettikten sonra saldırganların arka kapılar oluşturduğunu ve kodu bulmayı zorlaştırmak için gizlediğini bildiriyor. WPScan’in raporunda, “Bir WordPress sitesi ele geçirildikten sonra, saldırganlar arka kapılar oluşturarak ve kodu gizleyerek erişimlerinin uzun ömürlü olmasını sağlıyorlar” deniyor.
Aynı sorunu kullanarak başka hackelrların ele geçirilmiş bir siteyi tekrar ele geçirmelerini önlemek ve tespit edilmekten kaçınmak için, bilgisayar korsanları ayrıca savunmasız dosyayı “csv.php” olarak yeniden adlandırıyor. Web sitesinin kontrolünü ele geçirdikten sonra, tehdit aktörü genellikle dosya yüklemeye ve kod düzenlemeye izin veren ek eklentiler yüklüyor.
Hemen önlem alın!
WPScan, yöneticilerin web sitelerinin saldırıya uğrayıp uğramadığını belirlemelerine yardımcı olabilecek bir dizi tehlike göstergesi sundu. Buna göre yöneticiler, “xtw” ile başlayan bir yönetici hesabının varlığına ve son kampanyada yerleştirilen arka kapılar olan web.php ve index.php adlı dosyalara bakarak bilgisayar korsanlarının web sitesini ele geçirdiğine dair işaretleri kontrol edebilir.
İhlal riskini azaltmak için araştırmacılar, WordPress site yöneticilerine WP Automatic eklentisini 3.92.1 veya sonraki bir sürüme güncellemelerini tavsiye ediyor. WPScan ayrıca web sitesi sahiplerine, bir ihlal durumunda hızlı bir şekilde temiz kopyalar yükleyebilmeleri için sık sık sitelerinin yedeklerini oluşturmalarını önermektedir.
