Yeni bir kötü amaçlı yazılım kampanyası, WordPress'e kötü amaçlı JavaScript kodu eklemek için Popup Builder eklentisindeki yüksek önemdeki bir güvenlik açığından yararlanıyor.
Sucuri'ye göre kampanya, son üç hafta içinde 3.900'den fazla siteye bulaştı.
Güvenlik araştırmacısı Puja Srivastava, 7 Mart tarihli bir raporda, “Bu saldırılar, kayıtları 12 Şubat 2024'e kadar uzanan, bir aydan daha eski alanlardan düzenleniyor.” dedi.
Bulaşma dizileri, Popup Builder'da hileli yönetici kullanıcılar oluşturmak ve rastgele eklentiler yüklemek için kullanılabilecek bir güvenlik açığı olan CVE-2023-6000'in kötüye kullanılmasını içerir.
Bu eksiklik, bu Ocak ayının başlarında Balada Enjektör kampanyasının bir parçası olarak kullanıldı ve 7.000'den fazla siteyi tehlikeye attı.
En son saldırı dizisi, iki farklı çeşidi olan ve site ziyaretçilerini kimlik avı ve dolandırıcılık sayfaları gibi diğer sitelere yönlendirmek için tasarlanmış kötü amaçlı kodların enjeksiyonuna yol açmaktadır.
WordPress site sahiplerinin eklentilerini güncel tutmaları, sitelerini şüpheli kod veya kullanıcılar açısından taramaları ve uygun temizliği yapmaları önerilir.
Srivastava, “Bu yeni kötü amaçlı yazılım kampanyası, web sitenizin yazılımını yamalı ve güncel tutmamanın risklerini net bir şekilde hatırlatıyor” dedi.
Bu gelişme, WordPress güvenlik firması Wordfence'in, Ultimate Member olarak bilinen başka bir eklentide, kötü amaçlı web komut dosyalarını enjekte etmek için silah haline getirilebilecek yüksek önemdeki bir hatayı açıklamasının ardından geldi.
CVE-2024-2123 (CVSS puanı: 7.2) olarak takip edilen siteler arası komut dosyası çalıştırma (XSS) hatası, eklentinin 2.8.3 dahil ve önceki tüm sürümlerini etkiliyor. 6 Mart 2024'te yayınlanan 2.8.4 sürümünde yama uygulandı.
Kusur, yetersiz giriş temizleme ve çıkış kaçışından kaynaklanıyor; bu sayede, kimliği doğrulanmamış saldırganların, bir kullanıcı onları her ziyaret ettiğinde yürütülecek sayfalara rastgele web komut dosyaları yerleştirmesine olanak tanıyor.
“Güvenlik açığının, savunmasız bir sitede hiçbir ayrıcalığa sahip olmayan saldırganlar tarafından istismar edilebileceği gerçeğiyle birleştiğinde, bu, kimliği doğrulanmamış saldırganların, başarılı bir şekilde yararlanıldığında eklentinin savunmasız sürümünü çalıştıran sitelerde yönetici kullanıcı erişimi elde edebilme ihtimalinin yüksek olduğu anlamına gelir. ” dedi Wordfence.
Eklenti bakımcılarının 19 Şubat'ta yayınlanan 2.8.3 sürümünde benzer bir kusuru (CVE-2024-1071, CVSS puanı: 9,8) ele aldığını belirtmekte fayda var.
Bu aynı zamanda Avada WordPress temasında (CVE-2024-1468, CVSS puanı: 8,8) rastgele bir dosya yükleme güvenlik açığının keşfedilmesini takip ediyor ve muhtemelen kötü amaçlı kodu uzaktan çalıştırıyor. 7.11.5 sürümünde çözüldü.
Wordfence, “Bu, katılımcı düzeyinde ve üzeri erişime sahip kimliği doğrulanmış saldırganların, etkilenen sitenin sunucusuna uzaktan kod yürütülmesini mümkün kılabilecek rastgele dosyalar yüklemesini mümkün kılıyor” dedi.