Tehdit aktörleri, WordPress için WP‑Automatic eklentisindeki sitenin ele geçirilmesine izin verebilecek kritik bir güvenlik açığından aktif olarak yararlanmaya çalışıyor.
Eksiklik şu şekilde izlendi: CVE-2024-27956maksimum 10 üzerinden 9,9 CVSS puanına sahiptir. Eklentinin 3.9.2.0’dan önceki tüm sürümlerini etkiler.
WPScan, “Bir SQL enjeksiyon (SQLi) kusuru olan bu güvenlik açığı, saldırganların web sitelerine yetkisiz erişim elde etmek, yönetici düzeyinde kullanıcı hesapları oluşturmak, kötü amaçlı dosyalar yüklemek ve potansiyel olarak etkilenen sitelerin tam kontrolünü ele geçirmek için bu güvenlik açığından yararlanabilmesi nedeniyle ciddi bir tehdit oluşturuyor.” bu hafta bir uyarıda söyledi.
Automattic’in sahibi olduğu şirkete göre sorun, eklentinin kullanıcı kimlik doğrulama mekanizmasından kaynaklanıyor; bu mekanizma, özel hazırlanmış istekler aracılığıyla veritabanına karşı rastgele SQL sorguları yürütmek için önemsiz bir şekilde atlatılabilir.
Şu ana kadar gözlemlenen saldırılarda, CVE-2024-27956, yetkisiz veritabanı sorgulamaları yapmak ve duyarlı WordPress sitelerinde yeni yönetici hesapları oluşturmak için kullanılıyor (örneğin, “xtw” ile başlayan adlar). sömürü eylemleri.
Buna, dosya yüklemeyi veya kodu düzenlemeyi mümkün kılan, virüslü siteleri hazırlayıcı olarak yeniden kullanma girişimlerini gösteren eklentilerin yüklenmesi de dahildir.
WPScan, “Bir WordPress sitesi ele geçirildiğinde, saldırganlar arka kapılar oluşturarak ve kodu gizleyerek erişimlerinin uzun ömürlü olmasını sağlarlar” dedi. “Saldırganlar, tespitten kaçınmak ve erişimi sürdürmek için güvenlik açığı bulunan WP‑Otomatik dosyayı yeniden adlandırabilir, bu da web sitesi sahiplerinin veya güvenlik araçlarının sorunu tanımlamasını veya engellemesini zorlaştırabilir.”
Söz konusu dosya “/wp‑content/plugins/wp‑automatic/inc/csv.php” olup, “wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php” gibi bir şekilde yeniden adlandırılmıştır.
Bununla birlikte, tehdit aktörlerinin bunu diğer saldırganların zaten kontrolleri altında olan siteleri istismar etmesini engellemek amacıyla yapıyor olması da mümkündür.
CVE-2024-27956, 13 Mart 2024’te WordPress güvenlik firması Patchstack tarafından kamuya açıklandı. O zamandan bu yana, kusuru silah haline getirmeye yönelik 5,5 milyondan fazla saldırı girişimi ortalıkta tespit edildi.
Açıklama, Icegram Express’in E-posta Aboneleri (CVE-2024-2876, CVSS puanı: 9,8), Forminator (CVE-2024-28890, CVSS puanı: 9,8) ve Kullanıcı Kaydı (CVE-2024-2876) gibi eklentilerde ciddi hatalar açıklandığı için geldi. 2024-2417, CVSS puanı: 8,8) veritabanından şifre karmaları gibi hassas verileri çıkarmak, rastgele dosyalar yüklemek ve kimlik doğrulayıcı kullanıcıya yönetici ayrıcalıkları vermek için kullanılabilir.
Patchstack ayrıca, Poll Maker eklentisinde (CVE-2024-32514, CVSS puanı: 9,9) abone düzeyi ve üzeri erişime sahip kimliği doğrulanmış saldırganların etkilenen sitenin sunucusuna rastgele dosyalar yüklemesine izin veren yamalanmamış bir sorun olduğu konusunda uyardı. uzaktan kod yürütme.