Bilgisayar Korsanları WordPress Sitelerinde Yönetici Hesapları Oluşturmak İçin WP Otomatik Eklenti Hatasından Yararlanıyor


26 Nis 2024Haber odasıTehdit İstihbaratı / Siber Saldırı

WP-Otomatik Eklenti Hatası

Tehdit aktörleri, WordPress için WP‑Automatic eklentisindeki sitenin ele geçirilmesine izin verebilecek kritik bir güvenlik açığından aktif olarak yararlanmaya çalışıyor.

Eksiklik şu şekilde izlendi: CVE-2024-27956maksimum 10 üzerinden 9,9 CVSS puanına sahiptir. Eklentinin 3.9.2.0’dan önceki tüm sürümlerini etkiler.

WPScan, “Bir SQL enjeksiyon (SQLi) kusuru olan bu güvenlik açığı, saldırganların web sitelerine yetkisiz erişim elde etmek, yönetici düzeyinde kullanıcı hesapları oluşturmak, kötü amaçlı dosyalar yüklemek ve potansiyel olarak etkilenen sitelerin tam kontrolünü ele geçirmek için bu güvenlik açığından yararlanabilmesi nedeniyle ciddi bir tehdit oluşturuyor.” bu hafta bir uyarıda söyledi.

Automattic’in sahibi olduğu şirkete göre sorun, eklentinin kullanıcı kimlik doğrulama mekanizmasından kaynaklanıyor; bu mekanizma, özel hazırlanmış istekler aracılığıyla veritabanına karşı rastgele SQL sorguları yürütmek için önemsiz bir şekilde atlatılabilir.

Siber güvenlik

Şu ana kadar gözlemlenen saldırılarda, CVE-2024-27956, yetkisiz veritabanı sorgulamaları yapmak ve duyarlı WordPress sitelerinde yeni yönetici hesapları oluşturmak için kullanılıyor (örneğin, “xtw” ile başlayan adlar). sömürü eylemleri.

Buna, dosya yüklemeyi veya kodu düzenlemeyi mümkün kılan, virüslü siteleri hazırlayıcı olarak yeniden kullanma girişimlerini gösteren eklentilerin yüklenmesi de dahildir.

WPScan, “Bir WordPress sitesi ele geçirildiğinde, saldırganlar arka kapılar oluşturarak ve kodu gizleyerek erişimlerinin uzun ömürlü olmasını sağlarlar” dedi. “Saldırganlar, tespitten kaçınmak ve erişimi sürdürmek için güvenlik açığı bulunan WP‑Otomatik dosyayı yeniden adlandırabilir, bu da web sitesi sahiplerinin veya güvenlik araçlarının sorunu tanımlamasını veya engellemesini zorlaştırabilir.”

Söz konusu dosya “/wp‑content/plugins/wp‑automatic/inc/csv.php” olup, “wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php” gibi bir şekilde yeniden adlandırılmıştır.

Bununla birlikte, tehdit aktörlerinin bunu diğer saldırganların zaten kontrolleri altında olan siteleri istismar etmesini engellemek amacıyla yapıyor olması da mümkündür.

CVE-2024-27956, 13 Mart 2024’te WordPress güvenlik firması Patchstack tarafından kamuya açıklandı. O zamandan bu yana, kusuru silah haline getirmeye yönelik 5,5 milyondan fazla saldırı girişimi ortalıkta tespit edildi.

Siber güvenlik

Açıklama, Icegram Express’in E-posta Aboneleri (CVE-2024-2876, CVSS puanı: 9,8), Forminator (CVE-2024-28890, CVSS puanı: 9,8) ve Kullanıcı Kaydı (CVE-2024-2876) gibi eklentilerde ciddi hatalar açıklandığı için geldi. 2024-2417, CVSS puanı: 8,8) veritabanından şifre karmaları gibi hassas verileri çıkarmak, rastgele dosyalar yüklemek ve kimlik doğrulayıcı kullanıcıya yönetici ayrıcalıkları vermek için kullanılabilir.

Patchstack ayrıca, Poll Maker eklentisinde (CVE-2024-32514, CVSS puanı: 9,9) abone düzeyi ve üzeri erişime sahip kimliği doğrulanmış saldırganların etkilenen sitenin sunucusuna rastgele dosyalar yüklemesine izin veren yamalanmamış bir sorun olduğu konusunda uyardı. uzaktan kod yürütme.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link