Bilgisayar korsanları, yönetici kullanıcılar oluşturmak ve web sitelerinin kontrolünü ele geçirmek için LiteSpeed Cache eklentisinin eski bir sürümüne sahip WordPress sitelerini hedefliyor.
LiteSpeed Cache (LS Cache), beş milyondan fazla WordPress sitesinde kullanılan ve sayfa yüklemelerini hızlandırmaya, ziyaretçi deneyimini iyileştirmeye ve Google Arama sıralamasını yükseltmeye yardımcı olan bir önbellek eklentisi olarak tanıtılmaktadır.
Automattic’in güvenlik ekibi WPScan, Nisan ayında, eklentinin 5.7.0.1’den eski sürümlerine sahip WordPress sitelerini tarayan ve bu sitelerin güvenliğini ihlal eden tehdit aktörlerinin faaliyetlerinde artış olduğunu gözlemledi. CVE-2023-40000.
Bir IP adresinden, 94[.]102[.]51[.]144, savunmasız siteleri tararken 1,2 milyondan fazla araştırma isteği vardı.
WPScan, saldırıların, kritik WordPress dosyalarına veya veritabanına enjekte edilen kötü amaçlı JavaScript kodunu kullanarak ‘wpsupp-user’ veya ‘wp-configuser’ adlı yönetici kullanıcılar oluşturduğunu bildiriyor.
Başka bir enfeksiyon belirtisi, veritabanındaki “litespeed.admin_display.messages” seçeneğinde “eval(atob(Strings.fromCharCode”) dizesinin varlığıdır.
WPS tarama
LiteSpeed Cache kullanıcılarının büyük bir kısmı, CVE-2023-40000’den etkilenmeyen daha yeni sürümlere geçiş yaptı, ancak 1.835.000’e kadar önemli bir sayı hâlâ güvenlik açığı bulunan bir sürümü çalıştırıyor.
E-posta Abonelerini Hedefleme eklentisi
WordPress sitelerinde yönetici hesapları oluşturma yeteneği, saldırganlara web sitesi üzerinde tam kontrol sağlayarak içeriği değiştirmelerine, eklentiler yüklemelerine, kritik ayarları değiştirmelerine, trafiği güvenli olmayan sitelere yönlendirmelerine, kötü amaçlı yazılım dağıtmalarına, kimlik avına veya mevcut kullanıcı verilerini çalmalarına olanak tanır.
Haftanın başında Wallarm, yönetici hesapları oluşturmak için “E-posta Aboneleri” adlı bir WordPress eklentisini hedefleyen başka bir kampanyanın haberini verdi.
Bilgisayar korsanları, 5.7.14 ve daha eski eklenti sürümlerini etkileyen, önem derecesi 9.8/10 olan kritik bir SQL enjeksiyon güvenlik açığı olan CVE-2024-2876’dan yararlanıyor.
Her ne kadar “E-posta Aboneleri”, toplam 90.000 aktif kuruluma sahip olan LiteSpeed Cache’den çok daha az popüler olsa da, gözlemlenen saldırılar bilgisayar korsanlarının hiçbir fırsattan kaçınmayacağını gösteriyor.
WordPress site yöneticilerinin eklentileri en son sürüme güncellemesi, ihtiyaç duyulmayan bileşenleri kaldırması veya devre dışı bırakması ve yeni yönetici hesaplarının oluşturulup oluşturulmadığını izlemesi önerilir.
Onaylanmış bir ihlal durumunda sitenin tamamının temizlenmesi zorunludur. İşlem, tüm hileli hesapların silinmesini, mevcut tüm hesapların parolalarının sıfırlanmasını ve veritabanı ile site dosyalarının temiz yedeklerden geri yüklenmesini gerektirir.