Bir milyondan fazla WordPress sitesi tarafından kullanılan Hepsi Bir Arada Güvenlik (AIOS) WordPress güvenlik eklentisinin, kullanıcı oturum açma girişimlerinden sitenin veritabanına düz metin şifreleri kaydederek hesap güvenliğini riske attığı bulundu.
AIOS, Updraft tarafından geliştirilen, web uygulaması güvenlik duvarı, içerik koruması ve WordPress siteleri için oturum açma güvenliği araçları sunan, botları durdurmayı ve kaba kuvvet saldırılarını önlemeyi vaat eden hepsi bir arada bir çözümdür.
Yaklaşık üç hafta önce bir kullanıcı, AIOS v5.1.9 eklentisinin yalnızca kullanıcı oturum açma girişimlerini kaydetmediğini bildirdi. aiowps_audit_log oturum açmaları, oturum kapatmaları ve başarısız oturum açma olaylarını izlemek ve aynı zamanda girilen parolayı kaydetmek için kullanılan veritabanı tablosu.
Kullanıcı, bu etkinliğin NIST 800-63 3, ISO 27000 ve GDPR dahil olmak üzere birden çok güvenlik uyumluluk standardını ihlal ettiği yönündeki endişesini dile getirdi.
Ancak Updraft’ın destek temsilcisi, bunun “bilinen bir hata” olduğunu söyleyerek yanıt verdi ve bir sonraki sürümde bir düzeltmenin bulunacağına dair belirsiz bir söz verdi.
Sorunun öneminin anlaşılmasının ardından destek ekibi, iki hafta önce ilgili kullanıcılara yaklaşan sürümün geliştirme yapılarını sundu. Yine de, geliştirme yapılarını yüklemeye çalışanlar web sitesi sorunları ve parola günlüklerinin kaldırılmadığını bildirdi.
Düzeltme şimdi mevcut
Sonunda, 11 Temmuz’da AIOS satıcısı, düz metin parolaların kaydedilmesini önleyen ve eski girişleri temizleyen bir düzeltme içeren 5.2.0 sürümünü yayınladı.
Sürüm duyurusunda “AIOS sürüm 5.2.0 ve daha yeni güncellemeler, 5.1.9’da kullanıcıların şifrelerinin WordPress veritabanına düz metin olarak eklenmesine neden olan bir hatayı düzeltti” yazıyor.
“Eğer bu bir sorun olurdu [malicious] site yöneticileri, kullanıcılarınızın aynı parolayı kullanmış olabileceği diğer hizmetlerde bu parolaları deneyecekti.”
Açığa çıkan kişilerin giriş bilgileri bu diğer platformlarda iki faktörlü kimlik doğrulama ile korunmuyorsa, hileli yöneticiler hesaplarını kolaylıkla ele geçirebilir.
Kötü niyetli yönetici senaryosunun yanı sıra, AIOS kullanan web siteleri, sitenin veritabanına erişim sağlayan kötü bir aktör kullanıcı parolalarını düz metin biçiminde çalabileceğinden, bilgisayar korsanlarının ihlallerinden kaynaklanan yüksek riskle karşı karşıya kalır.
Yazma sırasında, WordPress.org istatistikleri, AIOS kullanıcılarının kabaca dörtte birinin 5.2.0 güncellemesini uyguladığını, bu nedenle 750.000’den fazla sitenin savunmasız kaldığını gösteriyor.
Ne yazık ki, tehdit aktörleri için ortak bir hedef olan WordPress ile, AIOS kullanan bazı sitelerin güvenliği ihlal edilmiş olabilir ve sorunun üç haftadır çevrimiçi olarak dolaştığını düşünürsek, bilgisayar korsanlarının bundan yararlanmak için pek çok fırsatı oldu. eklentinin yaratıcısının yavaş yanıtı.
Ayrıca, maruz kalma süresi boyunca hiçbir noktada Updraft’ın kullanıcılarını yüksek maruz kalma riski konusunda uyarmaması ve onlara hangi önlemleri almaları gerektiği konusunda tavsiyede bulunmaması talihsiz bir durumdur.
AIOS kullanan web siteleri artık en son sürüme güncellenmeli ve kullanıcılardan şifrelerini sıfırlamalarını istemelidir.