Bilgisayar korsanları, 50.000’den fazla web sitesinde kullanılan bir WordPress eklentisi olan YITH WooCommerce Gift Cards Premium’daki kritik bir açığı aktif olarak hedefliyor.
YITH WooCommerce Gift Cards Premium, web sitesi operatörlerinin çevrimiçi mağazalarında hediye kartları satmalarını sağlayan bir eklentidir.
CVE-2022-45359 (CVSS v3: 9.8) olarak izlenen güvenlik açığından yararlanmak, kimliği doğrulanmamış saldırganların, siteye tam erişim sağlayan web kabukları da dahil olmak üzere savunmasız sitelere dosya yüklemesine olanak tanır.
CVE-2022-45359, 22 Kasım 2022’de halka açıklandı ve 3.19.0’a kadar tüm eklenti sürümlerini etkiledi. Satıcı şimdiye kadar önerilen yükseltme hedefi olan 3.21.0’ı yayımlamışken, sorunu gideren güvenlik güncelleştirmesi 3.20.0 sürümüydü.
Ne yazık ki, birçok site hala daha eski, güvenlik açığı bulunan sürümü kullanıyor ve bilgisayar korsanları onlara saldırmak için zaten çalışan bir istismar geliştirdi.
Wordfence’deki WordPress güvenlik uzmanlarına göre, bilgisayar korsanları güvenlik açığından yararlanarak sitelere arka kapılar yüklemek, uzaktan kod yürütme elde etmek ve devralma saldırıları gerçekleştirmek için istismar çabaları devam ediyor.
Saldırılarda aktif olarak istismar edildi
Wordfence, bilgisayar korsanlarının saldırılarda kullandıkları bir istismarın ters mühendisliğini yaptı ve sorunun eklentinin “admin_init” kancasında çalışan “import_actions_from_settings_panel” işlevinde yattığını tespit etti.
Ayrıca bu işlev, savunmasız sürümlerde CSRF veya yetenek kontrolleri gerçekleştirmez.
Bu iki sorun, kimliği doğrulanmamış saldırganların siteye kötü amaçlı bir PHP yürütülebilir dosyası yüklemek için uygun parametreleri kullanarak “/wp-admin/admin-post.php” adresine POST istekleri göndermesini mümkün kılar.
.png)
Kötü amaçlı istekler, günlüklerde bilinmeyen IP adreslerinden gelen beklenmeyen POST istekleri olarak görünür; bu, site yöneticilerinin saldırı altında olduklarının bir işareti olmalıdır.
Wordfence tarafından tespit edilen yüklenen dosyalar şunlardır:
- kon.php/1tes.php – bu dosya, “marihuana kabuğu” dosya yöneticisinin bir kopyasını uzak bir konumdan belleğe yükler (kabuk[.]Prens[.]com)
- b.php – basit yükleyici dosyası
- admin.php – parola korumalı arka kapı
Analistler, çoğu saldırının, yöneticilerin açığı kapatamadan Kasım ayında gerçekleştiğini, ancak 14 Aralık 2022’de ikinci bir zirvenin gözlemlendiğini bildiriyor.
103.138.108.15 IP adresi, 10.936 web sitesine karşı 19.604 istismar girişimi başlatan önemli bir saldırı kaynağıydı. Bir sonraki en büyük IP adresi, 928 WordPress sitesine 1.220 saldırı gerçekleştiren 188.66.0.135’tir.
Sömürü girişimleri halen devam etmektedir, bu nedenle YITH WooCommerce Gift Cards Premium eklentisi kullanıcılarının mümkün olan en kısa sürede 3.21 sürümüne yükseltmeleri önerilir.