Bilgisayar korsanları, doğrudan WordPress.org deposundan yararlanılabilir kusurlara sahip diğer eklentileri yüklemek ve etkinleştirmek için “Hunk Companion” eklentisindeki kritik bir güvenlik açığından yararlanıyor.
Saldırganlar, mevcut açıklarla birlikte bilinen güvenlik açıklarına sahip güncel olmayan eklentiler yükleyerek, uzaktan kod yürütme (RCE), SQL enjeksiyonu, siteler arası komut dosyası çalıştırma (XSS) kusurlarına yol açan geniş bir kusur havuzuna erişebilir veya arka kapı yönetici hesapları oluşturabilir.
Etkinlik, dün yayınlanan sıfır gün kusurunu ele alan bir güvenlik güncellemesiyle bunu Hunk Companion’a bildiren WPScan tarafından keşfedildi.
Güvenlik açığı bulunan eklentilerin yüklenmesi
Hunk Companion, özelleştirilebilir WordPress temaları sağlayıcısı ThemeHunk tarafından geliştirilen temaların işlevselliğini tamamlamak ve geliştirmek için tasarlanmış bir WordPress eklentisidir, dolayısıyla bağımsız bir eklentiden ziyade bir eklentidir.
WordPress.org istatistiklerine göre Hunk Companion şu anda 10.000’den fazla WordPress sitesi tarafından kullanılıyor, dolayısıyla bu alanda nispeten niş bir araç.
Kritik güvenlik açığı, WPScan araştırmacısı Daniel Rodriguez tarafından keşfedildi ve CVE-2024-11972 olarak takip ediliyor. Bu kusur, kimliği doğrulanmamış POST istekleri aracılığıyla eklentilerin isteğe bağlı olarak yüklenmesine olanak tanıyor.
Sorun, Hunk Companion’ın dün yayınlanan ve soruna çözüm getiren son 1.9.0 sürümünden önceki tüm sürümlerini etkiliyor.
WPScan, bir WordPress sitesine bulaşmayı araştırırken, WP Query Console’un savunmasız bir sürümünü yüklemek için CVE-2024-11972’nin aktif olarak kullanıldığını keşfetti.
Bu, en son 7 yıl önce güncellenen, bilgisayar korsanlarının sıfır gün RCE kusuru CVE-2024-50498’den yararlanarak hedeflenen sitelerde kötü amaçlı PHP kodu yürütmek için kullandığı, bilinmeyen bir eklentidir.
WPScan, “Analiz ettiğimiz bulaşmalarda, saldırganlar RCE’yi kullanarak sitenin kök dizinine bir PHP bırakıcısı yazıyor” diye açıklıyor.
“Bu damlalık, GET istekleri aracılığıyla kimliği doğrulanmamış yüklemelerin devam etmesine izin vererek siteye kalıcı arka kapı erişimine olanak tanıyor.”
Hunk Companion’ın, CVE-2024-9707 kapsamında takip edilen 1.8.5 sürümünde benzer bir kusuru düzelttiğini belirtmekte fayda var, ancak görünen o ki yama yeterli değildi ve onu atlamanın yolları mevcuttu.
Kusurun ciddiyeti ve aktif yararlanma durumu göz önüne alındığında, Hunk Companion kullanıcılarının mümkün olan en kısa sürede 1.9.0’a güncelleme yapmaları tavsiye ediliyor.
Bu yazının yazıldığı sırada en son sürüm yaklaşık 1.800 kez indirildi, yani en az sekiz bin web sitesi istismara karşı savunmasız durumda.