Kitlesel istismar saldırıları bir kez daha WordPress web sitelerini hedef alıyor; bu sefer iki popüler eklenti olan GutenKit ve Hunk Companion’daki ciddi güvenlik açıkları aracılığıyla. Siber güvenlik araştırmacıları, kampanyanın 8 Ekim’de başladığını ve iki hafta boyunca yaklaşık dokuz milyon istismar girişiminin engellendiğini gördüklerini söylüyor.
Sorun, saldırganların herhangi bir kimlik doğrulaması olmadan isteğe bağlı eklentileri kurup etkinleştirmesine olanak tanıyan üç kritik güvenlik açığından kaynaklanıyor. Bu, başka bir güvenlik açığı bulunan eklentinin mevcut olması durumunda tüm sitenin tehlikeye girmesine yol açabilir. Devam eden kampanyayı ilk kez tespit eden Wordfence, aynı hataların daha önceki saldırılarda da hedef alındığını ancak artık yenilenmiş ve agresif bir şekilde kullanıldığını söyledi.
Tema özelleştirmesi için kullanılan Hunk Companion eklentisi, /wp-json/hc/v1/themehunk-import REST API uç noktası. 1.8.5’e kadar olan sürümler açığa çıkar ve herkesin eklentileri uzaktan kurmasına ve etkinleştirmesine olanak tanır. CVE-2024-9707’ye geçiş olarak sınıflandırılan bu kusur, saldırganların çalıştırılabilir kod içeren başka bir eklentiyi etkinleştirebilmeleri durumunda WordPress sitesinin tam kontrolünü ele geçirmelerine kapıyı açıyor.
Gutenberg bloklarını geliştirmekle bilinen bir eklenti olan GutenKit’in de benzer bir sorunu var. 2.1.1’den önceki sürümler, eksik bir yetenek kontrolü yoluyla rastgele dosya yüklemelerine izin veren CVE-2024-9234’e karşı savunmasızdır. Kusur, sahte eklenti dosyalarını yüklemek veya kötü amaçlı uzantıları etkinleştirmek için kullanılabilir. Hunk Companion’ın önceki sürümleri olan 1.8.4 ve 1.8.5 ayrıca CVE-2024-9707 ve CVE-2024-11972 olarak izlenen iki ek yetenek kontrol hatası içerir.
Güvenlik uzmanları, bu kampanyanın kuruluşların açık kaynak bileşenlerini yönetme biçimindeki kalıcı bir sorunu vurguladığını söylüyor. Black Duck Güvenlik Çözümleri Mühendisi Vineeta Sangaraju, bu hataların uzun zaman önce giderilmiş olmasına rağmen birçok web sitesinin güncellemeleri hiçbir zaman uygulamadığına dikkat çekti. “Bu kritik güvenlik açıklarının keşfedilmesinden ve yama uygulanmasından tam bir yıl sonra istismar ediliyor olması, açık kaynağa hâlâ ‘ayarla ve unut’ muamelesi yapıldığını gösteriyor” dedi.
Black Duck’ın 2025 Açık Kaynak Güvenliği ve Risk Analizi raporuna göre, açık kaynak bileşenlerinin kullanımı dört yılda üç katına çıktı ve uygulamaların %90’ı, ortalama on sürüm geride olan yazılımlara dayanıyor.
Sangaraju, rutin bakımın ihmal edilmesinin saldırganlara açık bir avantaj sağladığını ekledi. Yalnızca Ekim ayında tahmin edilen sekiz milyon suiistimal girişimi, bir zayıflık ortaya çıktığında yama uygulanmayan sistemlerin ne kadar hızlı hedef alınabileceğini gösteriyor.
GutenKit veya Hunk Companion kullanan web sitesi yöneticilerinin derhal GutenKit 2.1.1 ve Hunk Companion 1.8.6 veya sonraki sürümlere güncellemeleri önerilir. Ayrıca, izinsiz eklemeler olup olmadığını görmek için yüklü eklentileri de incelemelidirler. Wordfence’in en son bulgularının tamamı buradaki blogunda mevcuttur.