Siber güvenlik firması Wordfence, iki popüler WordPress eklentisindeki kritik güvenlik açıklarını hedef alan, kimliği doğrulanmamış saldırganların kötü amaçlı yazılım yüklemesine ve potansiyel olarak web sitelerinin kontrolünü ele geçirmesine olanak tanıyan yenilenmiş bir kitlesel istismar dalgasını ortaya çıkardı.
İlk olarak 2024’ün sonlarında açıklanan kusurlar, sırasıyla 40.000 ve 8.000’den fazla aktif kuruluma sahip olan GutenKit ve Hunk Companion eklentilerini etkiliyor.
Yamaların bir yıldan fazla bir süredir mevcut olmasına rağmen, bilgisayar korsanları 8 Ekim 2025’te büyük ölçekli saldırıları yeniden başlattı ve site yöneticilerinin derhal güncelleme yapması için acil çağrılara yol açtı.
Yenilenen Saldırılar Yama Uygulanmamış Siteleri Hedefliyor
Güvenlik açıkları, eklentilerin REST API uç noktalarındaki eksik yetkilendirme kontrollerinden kaynaklanıyor ve herkesin kimlik doğrulaması olmadan isteğe bağlı eklentileri kurup etkinleştirmesine olanak tanıyor.
GutenKit’in 2.1.0’a kadar olan sürümlerinde, “install-active-plugin” uç noktası uygun izinlere sahip değil ve saldırganların kötü amaçlı ZIP dosyalarını doğrudan WordPress eklenti dizinine yüklemesine ve açmasına olanak tanıyor.
Bu, meşru eklentiler gibi görünen arka kapıların dağıtılmasıyla uzaktan kod yürütülmesine (RCE) yol açabilir.
Benzer şekilde, Hunk Companion’ın 1.8.5’e kadar olan sürümleri, saldırganların kendi RCE kusuruna sahip yamalı wp-query-console gibi savunmasız eklentileri WordPress deposundan çekmek için kullandığı “themehunk-import” uç noktasını açığa çıkarıyor.
Aralarında Sean Murphy ve Daniel Rodriguez’in de bulunduğu Wordfence araştırmacıları, bu sorunları hata ödül programı aracılığıyla belirlediler ve 537 ile 716 dolar arasında ödül kazandılar. Her ikisi de 9,8 CVSS puanı taşıyor ve bu da onları kritik olarak işaretliyor.
Saldırı kayıtları karmaşık taktikleri ortaya çıkarıyor. GitHub’da barındırılan yaygın bir veri, yönetici devralmaları için Hepsi Bir Arada SEO’yu taklit eden karmaşık PHP komut dosyalarını, kötü amaçlı yazılım yüklemek için dosya yöneticilerini ve toplu tahrifat ve ağ koklama araçlarını içerir.
Başka bir girişimde, istismarları zincirlemek için wp-query-console kuruluyor. Wordfence’in güvenlik duvarı, kuralların dağıtıldığı Eylül 2024’ten bu yana 8,75 milyondan fazla girişimi engelledi ve 8-9 Ekim 2025’te ani bir artış yaşandı.
3.141.28.47 (349.900 blok) ve 13.218.47.110 (82.900 blok) gibi en çok sorun yaratan IP’ler, koordineli botnet etkinliği öneriyor. Premium kullanıcılar ilk önce koruma alırken, ücretsiz sürümler 30 günlük bir gecikmenin ardından korumalara kavuştu.
WordPress Kullanıcılarına Öneriler
Site sahipleri hemen GutenKit 2.1.1 ve Hunk Companion 1.9.0’a yükseltme yapmalıdır. API’nin kötüye kullanımını engellemek için Wordfence gibi güvenlik duvarlarını etkinleştirin ve yüklü eklentileri şüpheli etkinliklere karşı denetleyin.
Wordfence, yama yapılmamış sitelerin, ifşa edildikten bir yıl sonra bile ana hedef olmaya devam edeceği konusunda uyarıyor ve tehdit aktörlerinin güncelliğini kaybetmiş yazılımlardan yararlanma konusundaki ısrarının altını çiziyor.
Uzlaşma Göstergeleri (IoC’ler):
| Kategori | Detaylar |
|---|---|
| Şüpheli İstekler | /wp-json/gutenkit/v1/install-active-plugin /wp-json/hc/v1/themehunk-import |
| Şüpheli IP Adresleri | 13.218.47.110 3.10.141.23 52.56.47.51 18.219.237.98 2600:1f16:234:9300:70c6:9e26:de1a:7696 18.116.40.45 119.34.179.21 2600:1f16:234:9300:f71:yatak2:11e5:4080 194.87.29.184 3.133.135.47 3.141.28.47 3.85.107.39 3.148.175.195 193.84.71.244 3.147.6.140 3.144.26.200 193.233.134.136 |
| Yaygın Kötü Amaçlı Eklenti Dizinleri | /up / up.zip – Kötü amaçlı eklenti /background-image-cropper / background-image-cropper.zip – Kötü amaçlı eklenti /ultra-seo-processor-wp / ultra-seo-processor-wp.zip – Kötü amaçlı eklenti /oke / oke.zip – Kötü amaçlı eklenti |
| Yasal Eklenti Dizini | /wp-query-console – Meşru WordPress eklentisi |
| İlgili Alanlar | ls.fatec[.]info dari-slideshow[.]ru zarjavelli[.]ru korobushkin[.]ru drschischka[.]at dpaxt[.]io cta.imasync[.]com catbox[.]moe (dosya paylaşım sitesi) |
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.