WPGateway olarak bilinen bir WordPress premium eklentisinin en son sürümündeki sıfır günlük bir kusur, vahşi ortamda aktif olarak istismar ediliyor ve potansiyel olarak kötü niyetli oyuncuların etkilenen siteleri tamamen ele geçirmesine izin veriyor.
olarak izlendi CVE-2022-3180 (CVSS puanı: 9.8), WordPress güvenlik şirketi Wordfence, sorunun WPGateway eklentisini çalıştıran sitelere kötü niyetli bir yönetici kullanıcı eklemek için silahlandırıldığını belirtti.
Wordfence araştırmacısı Ram Gall bir danışma belgesinde, “Eklentinin işlevselliğinin bir kısmı, kimliği doğrulanmamış saldırganların kötü niyetli bir yönetici eklemesine izin veren bir güvenlik açığını ortaya çıkarır.” Dedi.
WPGateway, site yöneticilerinin birleşik bir panodan WordPress eklentilerini ve temalarını yüklemesi, yedeklemesi ve klonlaması için bir araç olarak faturalandırılır.
Eklentiyi çalıştıran bir web sitesinin güvenliğinin ihlal edildiğinin en yaygın göstergesi, “rangex” kullanıcı adına sahip bir yöneticinin varlığıdır.
Ek olarak, erişim günlüklerinde “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” isteklerinin görünmesi, WordPress sitesinin kusur kullanılarak hedeflendiğinin bir işaretidir. mutlaka başarılı bir ihlal anlamına gelmez.
Wordfence, son 30 gün içinde 280.000’den fazla siteye karşı güvenlik açığından yararlanmaya çalışan 4,6 milyondan fazla saldırıyı engellediğini söyledi.
Aktif istismar nedeniyle ve diğer aktörlerin eksiklikten faydalanmasını önlemek için güvenlik açığı hakkında daha fazla ayrıntı verilmemiştir. Yama olmaması durumunda, kullanıcıların bir düzeltme bulunana kadar eklentiyi WordPress kurulumlarından kaldırmaları önerilir.
Geliştirme, Wordfence’in BackupBuddy adlı bir WordPress eklentisindeki başka bir sıfır gün kusurunun vahşice kötüye kullanılması konusunda uyarmasından günler sonra geldi.
Açıklama ayrıca, Sansec’in, popüler Magento-WordPress entegrasyonlarının bir satıcısı olan FishPig’in uzantı lisans sistemine, tehdit aktörlerinin Rekoobe adlı bir uzaktan erişim trojanını yüklemek için tasarlanmış kötü amaçlı kod enjekte ettiğini açıklamasıyla geldi.