Yaygın bir istismar kampanyası, uzaktan kod yürütmeyi (RCE) gerçekleştirmek için kullanılabilecek kritik öneme sahip eski güvenlik sorunlarına karşı savunmasız olan GutenKit ve Hunk Companion eklentilerine sahip WordPress web sitelerini hedefliyor.
WordPress güvenlik firması Wordfence, 8 ve 9 Ekim olmak üzere yalnızca iki gün içinde müşterilerine yönelik 8,7 milyon saldırı girişimini engellediğini söylüyor.
Kampanya, CVE-2024-9234, CVE-2024-9707 ve CVE-2024-11972 olarak takip edilen ve tümü kritik olarak derecelendirilen (CVSS 9.8) üç kusuru açığa çıkarıyor.
CVE-2024-9234, GutenKit eklentisindeki 40.000 yüklemeli, kimlik doğrulaması olmadan rastgele eklentilerin yüklenmesine izin veren, kimliği doğrulanmamış bir REST uç nokta hatasıdır.
CVE-2024-9707 ve CVE-2024-11972, Hunk Companion eklentisinin themehunk-import REST uç noktasındaki (8.000 yükleme) eksik yetkilendirme güvenlik açıklarıdır ve aynı zamanda isteğe bağlı eklentilerin yüklenmesine de yol açabilir.
Kimliği doğrulanmış bir saldırgan, uzaktan kod yürütülmesine izin veren başka bir güvenlik açığı bulunan eklentiyi tanıtmak için güvenlik açıklarından yararlanabilir.
- CVE-2024-9234, GutenKit 2.1.0 ve önceki sürümlerini etkiler
- CVE-2024-9707, Hunk Companion 1.8.4 ve daha eski sürümleri etkiliyor
- CVE-2024-11972, Hunk Companion 1.8.5 ve önceki sürümleri etkiliyor
Üç güvenlik açığına yönelik düzeltmeler, Ekim 2024’te yayımlanan Gutenkit 2.1.1’de ve Aralık 2024’te yayımlanan Hunk Companion 1.9.0’da kullanıma sunuldu. Ancak satıcının bunları neredeyse bir yıl önce düzeltmesine rağmen birçok web sitesi güvenlik açığı bulunan sürümleri kullanmaya devam ediyor.
Kaynak: Wordfence
Wordfence’in saldırı verilerine dayanarak yaptığı gözlemler, araştırmacıların tehdit aktörlerinin GitHub’da .ZIP arşivinde ‘up’ adı verilen kötü amaçlı bir eklenti barındırdığını söylediğini gösteriyor.
Arşiv, dosyaların yüklenmesine, indirilmesine, silinmesine ve izinlerin değiştirilmesine olanak tanıyan karmaşık komut dosyaları içerir. All in One SEO eklentisinin bir bileşeni olarak gizlenen, şifreyle korunan komut dosyalarından biri, saldırganın otomatik olarak yönetici olarak oturum açması için kullanılıyor.
Saldırganlar bu araçları kalıcılığı korumak, dosyaları çalmak veya bırakmak, komutları yürütmek veya site tarafından işlenen özel verileri koklamak için kullanır.
Saldırganlar, kurulu paket aracılığıyla tam yönetici arka kapısına doğrudan ulaşamadıklarında, genellikle kimliği doğrulanmamış RCE için kullanılabilecek, savunmasız bir ‘wp-query-console’ eklentisini yüklerler.
Wordfence, bu saldırılara karşı savunma oluşturmaya yardımcı olabilecek, bu tür kötü amaçlı isteklerin yüksek hacimlerini yönlendiren çeşitli IP adreslerini listelemiştir.
Araştırmacılar, uzlaşmanın bir göstergesi olarak yöneticilerin /wp-json/gutenkit/v1/install-active-plugin Ve /wp-json/hc/v1/themehunk-import site erişim günlüklerindeki istekler.
Ayrıca dizinleri de kontrol etmeliler /yukarı, /arka plan-görüntü-kırpıcı, /ultra-seo-işlemci-wp, / sınırVe /wp-sorgu-konsoluhileli girişler için.
Yöneticilerin web sitelerindeki tüm eklentileri satıcının sunduğu en son sürüme güncel tutması önerilir.
Ortamların %46’sında şifreler kırıldı; bu oran geçen yılki %25’ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025’i hemen edinin.