Bilgisayar korsanları, siteleri izinsiz olarak hacklemek için kullanabilecekleri güvenlik açıklarına sahip olduklarından genellikle WordPress eklentilerini hedef alır.
Tehdit aktörleri bunları bulduktan sonra bu boşluklara bozuk komut dosyaları yerleştirerek sistemi tehlikeye atabilir, gizli veriler elde edebilir ve kendi gereksinimlerine hizmet eden diğer saldırıları gerçekleştirebilir.
WPScan’deki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının “CVE-2024-27956” olarak takip edilen WP Otomatik güncelleme eklentisi güvenlik açığından aktif olarak yararlandığını keşfetti.
Kusur Profili
- CVE Kimliği: CVE-2024-27956
- WP‑Otomatik Savunmasız Sürümler: < 3.9.2.0
- CVSSv3.1: 9.8
- CVSS şiddeti: Yüksek
- Sabitlendi: 3.92.1
- Sınıflandırma: SQL Enjeksiyonu
- Yama önceliği: Yüksek
WP Otomatik Güncellemeler Saldırı altında
WP-Automatic eklentisindeki bu kritik kusur, tehdit aktörlerinin kimlik doğrulamayı atlamasına, yönetici hesapları oluşturmasına, kötü amaçlı dosyalar yüklemesine ve birkaç hafta önce keşfedilen bir SQL enjeksiyon güvenlik açığı aracılığıyla potansiyel olarak etkilenen web sitelerinin güvenliğini ihlal etmesine olanak tanıyor.
Sorun, zararlı SQL sorgularının eklenmesine izin veren hatalı kullanıcı kimlik doğrulama işleminden kaynaklanmaktadır.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
13 Mart’ta PatchStack bunu kamuya açıkladı ve 5,5 milyondan fazla saldırı girişimi kaydetti; bu sayı, kademeli olarak arttıktan sonra 31 Mart’ta zirveye ulaştı. Bu güvenlik açığı çok tehlikelidir çünkü sitenin tamamen ele geçirilmesine neden olabilir.
.webp)
Saldırganlar, yönetici hesapları oluşturan, web kabukları ve arka kapılar yükleyen ve sürekli kullanım için istismar edilen eklenti dosyasını yeniden adlandıran kötü amaçlı SQL sorguları enjekte ederek SQL Injection (SQLi) güvenlik açığından yararlanır.
Daha sonra, izlerini gizlerken daha fazla kod düzenlemeye ve dosya yüklemeye olanak tanıyan eklentiler yüklerler.
Sahipler, güvenlik araçları ve diğer tehdit aktörleri, eklenti dosyasının yeniden adlandırılmasıyla engellenebilir ve tespit edilmeden kalabilir.
Tehdit aktörleri, farklı kötü amaçlı eklentiler veya temalar kullanarak kendilerini kontrol etmek için arka kapılar uyguladığından, kalıcılık tam kontrol yoluyla sağlanır.
Azaltmalar
Aşağıda, siber güvenlik analistleri tarafından önerilen tüm azaltımlardan bahsettik: –
- Bilinen güvenlik açıklarını gidermek ve güvenliği sağlamak için WP‑Otomatik eklentisini en son sürüme güncellediğinizden emin olun.
- Yetkisiz veya şüpheli yönetici kullanıcılarını kaldırmak için WordPress kullanıcı hesaplarını düzenli olarak denetleyin; bu, yetkisiz erişim riskini azaltmaya yardımcı olur.
- Kötü amaçlı etkinlikleri anında tespit etmek ve bunlara yanıt vermek için her zaman Jetpack Scan gibi güçlü güvenlik izleme araçlarını kullanın.
- Herhangi bir güvenlik ihlali durumunda hızlı bir şekilde geri yükleme sağlamak, minimum kesinti süresi ve veri kaybı sağlamak için web sitesi verilerinizin güncel yedeklerini koruyun.
IoC’ler
- Adı xtw ile başlayan yönetici kullanıcı.
- Güvenlik açığı bulunan “/wp‑content/plugins/wp‑automatic/inc/csv.php” dosyası, “/wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php” olarak yeniden adlandırıldı
- Aşağıdaki SHA1 hashing uygulanmış dosyalar sitenizin dosya sistemine düştü:
- b0ca85463fe805ffdf809206771719dc571eb052 web.php
- 8e83c42ffd3c5a88b2b2853ff931164ebce1c0f3 index.php
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo