Bilgisayar korsanları, güvenlik önlemlerini atlayarak ve hileli yönetici hesaplarını kaydederek web sitelerini tehlikeye atmak için ‘Nihai Üye’ WordPress eklentisindeki sıfır günlük bir ayrıcalık yükseltme güvenlik açığından yararlanır.
Ultimate Üye, WordPress sitelerinde kaydolmayı ve topluluklar oluşturmayı kolaylaştıran bir kullanıcı profili ve üyelik eklentisidir ve şu anda 200.000’den fazla aktif kurulumu vardır.
CVE-2023-3460 olarak izlenen ve CVSS v3.1 puanı 9,8 (“kritik”) olan istismar edilen kusur, en son sürüm olan v2.6.6 da dahil olmak üzere Ultimate Üye eklentisinin tüm sürümlerini etkiler.
Geliştiriciler başlangıçta 2.6.3, 2.6.4, 2.6.5 ve 2.6.6 sürümlerindeki kusuru düzeltmeye çalışsa da, hala kusurdan yararlanmanın yolları var. Geliştiriciler, kalan sorunu çözmek için çalışmaya devam ettiklerini ve yakında yeni bir güncelleme yayınlamayı umduklarını söylediler.
Ultimate Üye geliştiricilerinden biri, “Müşterilerimizden birinden bir rapor aldığımızda 2.6.3 sürümünden beri bu güvenlik açığıyla ilgili düzeltmeler üzerinde çalışıyoruz” dedi.
“2.6.4, 2.6.5, 2.6.6 sürümleri bu güvenlik açığını kısmen kapatıyor ancak en iyi sonucu almak için WPScan ekibiyle birlikte çalışıyoruz. Gerekli tüm ayrıntıları içeren raporlarını da alıyoruz.”
“Önceki tüm sürümler savunmasızdır, bu nedenle web sitelerinizi 2.6.6’ya yükseltmenizi ve en son güvenlik ve özellik geliştirmelerini almak için gelecekte güncellemeleri sürdürmenizi önemle tavsiye ederiz.”
CVE-2023-3460’tan yararlanan saldırılar
Bu sıfır günü istismar eden saldırılar, Wordfence’teki web sitesi güvenlik uzmanları tarafından keşfedildi ve tehdit aktörlerinin, hesaplarında keyfi kullanıcı meta değerleri ayarlamak için eklentinin kayıt formlarını kullanarak bundan faydalandıkları konusunda uyarıda bulundu.
Daha spesifik olarak, saldırganlar, “wp_capabilities” kullanıcı meta değerini, kullanıcı rollerini yönetici olarak tanımlayarak, onlara güvenlik açığı bulunan siteye tam erişim hakkı verir.
Eklenti, kullanıcıların yükseltmesinin mümkün olmaması gereken anahtarlar için bir engelleme listesine sahiptir; ancak Wordfence, bu koruma önlemini atlamanın önemsiz olduğunu söylüyor.
Bu saldırılarda CVE-2023-3460 kullanılarak saldırıya uğrayan WordPress siteleri aşağıdaki göstergeleri gösterecektir:
- Web sitesinde yeni yönetici hesaplarının görünümü
- wpenginer, wpadmins, wpengine_backup, se_brutal, segs_brutal kullanıcı adlarının kullanımı
- Kötü amaçlı olduğu bilinen IP’lerin Nihai Üye kayıt sayfasına eriştiğini gösteren günlük kayıtları
- 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 ve 172.70.147.176’dan erişimi gösteren günlük kayıtları
- “exelica.com” ile ilişkili bir e-posta adresine sahip bir kullanıcı hesabının görünümü
- Siteye yeni WordPress eklentilerinin ve temalarının kurulumu
Kritik kusur yamalanmadığı ve istismar edilmesi çok kolay olduğu için WordFence, Ultimate Üye eklentisinin derhal kaldırılmasını önerir.
Wordfence, müşterilerini bu tehdide karşı korumak için özel olarak geliştirdiği güvenlik duvarı kuralının bile tüm olası istismar senaryolarını kapsamadığını, dolayısıyla satıcısı sorunu çözene kadar eklentiyi kaldırmanın tek ihtiyatlı eylem olduğunu açıklıyor.
Yukarıda paylaşılan IoC’lere göre bir sitenin güvenliğinin ihlal edildiği tespit edilirse, eklentinin kaldırılması riski ortadan kaldırmak için yeterli olmayacaktır.
Bu gibi durumlarda, web sitesi sahipleri, hileli yönetici hesapları ve oluşturdukları arka kapılar gibi uzlaşmanın tüm kalıntılarını ortadan kaldırmak için eksiksiz kötü amaçlı yazılım taramaları yapmalıdır.