Tehdit aktörleri, iki popüler WordPress eklentisi GutenKit ve Hunk Companion’daki kritik güvenlik açıklarını hedef alan, dünya çapında yüz binlerce web sitesini etkileyen önemli bir toplu istismar kampanyası başlattı.
Eylül ve Ekim 2024’te keşfedilen bu güvenlik açıkları, Ekim 2025’te aktif bir tehdit olarak yeniden ortaya çıktı ve yama yapılmamış kurulumların kalıcı tehlikesini ortaya koydu.
Saldırı vektörleri, REST API uç noktalarında uygunsuz izin kontrollerinden yararlanarak, kimliği doğrulanmamış saldırganların, kimlik doğrulama veya kullanıcı müdahalesi olmadan kötü amaçlı eklentiler yüklemesine ve uzaktan kod yürütmesine olanak tanır.
40.000’den fazla aktif kuruluma sahip GutenKit eklentisi ve yaklaşık 8.000 aktif kullanıcıya sahip Hunk Companion, yaygın olarak benimsenmeleri nedeniyle önemli saldırı yüzeylerini temsil ediyor.
Wordfence Tehdit Müdahale Birimi analistleri, saldırganların ilk ifşadan yaklaşık bir yıl sonra, 8 Ekim 2025’te yeniden toplu istismara başladığını tespit etti; bu da tehdit aktörlerinin büyük ölçekli güvenlik açığı operasyonları için bu kritik kusurlardan yararlanmaya devam ettiğini gösteriyor.
Wordfence Güvenlik Duvarı, koruyucu kuralların uygulanmasından bu yana bu güvenlik açıklarını hedef alan 8.755.000’den fazla istismar girişimini zaten engelledi.
Tehdit manzarası, kalıcılık ve yatay hareket için tasarlanmış çok sayıda kötü amaçlı yükün yer aldığı organize saldırı altyapısını ortaya çıkarıyor.
Wordfence Tehdit Müdahale Birimi araştırmacıları, saldırganların büyük oranda gizlenmiş arka kapılar, dosya yöneticileri ve toplu tahrifat, ağ keşfi ve terminal erişimi yapabilen web kabukları dağıttıklarını belirtti.
Bu kötü amaçlı paketler, doğruya dönecek şekilde ayarlanan izin geri çağırma mekanizmasından yararlanarak normalde meşru olan eklenti yükleme işlevselliğini sistem güvenliğinin aşılması için silahlı bir giriş noktasına dönüştürür.
REST API İzin Mekanizmasının Kullanımı
Temel güvenlik açığı, REST API uç nokta kaydındaki kritik bir yanlış yapılandırmadan kaynaklanıyor. Her iki eklenti de, gerçek değerleri döndürerek kimliği doğrulanmamış isteklere koşulsuz olarak izin veren ve erişim kontrollerini tamamen devre dışı bırakan izin geri çağırmaları uygular.
GutenKit’te, güvenlik açığı bulunan uç nokta, gutenkit/v1/install-active-plugin uç noktası aracılığıyla install_and_activate_plugin_from_external() işlevine yönlendirilirken, Hunk Companion, hc/v1/themehunk-import aracılığıyla benzer işlevleri ortaya çıkarır.
Bu istismar mekanizması, genellikle GitHub veya saldırgan tarafından kontrol edilen alanlar gibi harici depolarda barındırılan isteğe bağlı eklenti URL’leriyle POST isteklerini göndererek çalışır.
Kimliği doğrulanmamış bir istek bu uç noktalara ulaştığında, sunucu, eklentinin orijinalliğini veya kod bütünlüğünü doğrulamadan, belirtilen ZIP arşivini doğrudan wp-content/plugins’e indirir ve çıkarır.
Wordfence Tehdit Müdahale Birimi analistleri, kötü amaçlı paketlerin, temel algılamayı atlatmak için Hepsi Bir Arada SEO eklentisi başlıklarına sahip, gizlenmiş PHP komut dosyaları içerdiğini, bunun yanı sıra base64 kodlu dosya yöneticileri ve PDF başlığı gizlenmiş arka kapıların tüm sistemin tehlikeye atılmasını sağladığını keşfetti.
Yükleme işlemi otomatik olarak gerçekleştirilir, kötü amaçlı kod anında etkinleştirilir ve saldırganlara ek kötü amaçlı yazılım yüklemek, web sitesi içeriğini değiştirmek ve kalıcı erişim mekanizmaları oluşturmak için doğrudan komut yürütme yetenekleri sağlanır.
| CVE Kimliği | Eklenti | Etkilenen Sürümler | Yamalı Sürüm | CVSS Puanı | Güvenlik Açığı Türü | Ödül |
|---|---|---|---|---|---|---|
| CVE-2024-9234 | İyiKit | ≤ 2.1.0 | 2.1.1 | 9.8 (Kritik) | Kimliği Doğrulanmamış Rastgele Dosya Yükleme | 716,00$ |
| CVE-2024-9707 | iri parça arkadaş | ≤ 1.8.4 | 1.9.0 | 9.8 (Kritik) | Eksik Yetki – Keyfi Eklenti Kurulumu | 537,00$ |
| CVE-2024-11972 | iri parça arkadaş | ≤ 1.8.5 | 1.9.0 | 9.8 (Kritik) | Eksik Yetkilendirme – Eklenti Kurulumunu Atlama | Yok |
Web sitesi yöneticileri GutenKit’i derhal 2.1.1 sürümüne ve Hunk Companion’ı 1.9.0 sürümüne güncellemelidir. Şüpheli kurulumlar için wp-content/plugins ve wp-content/upgrade dizinlerini inceleyin.
/wp-json/gutenkit/v1/install-active-plugin ve /wp-json/hc/v1/themehunk-import uç noktalarına yönelik isteklere ilişkin erişim günlüklerini izleyin ve API erişimini yalnızca kimliği doğrulanmış kullanıcılarla kısıtlamak için güvenlik duvarı kuralları uygulayın.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
