WordPress eklentileri, kuruluşların herhangi bir kodlama veya ileri teknik beceri gerektirmeden web sitelerinin işlevselliğini hızla genişletmelerine olanak tanır. Ancak son yıllarda web sitesi operatörleri için en büyük risk kaynağı da oldular.
En yeni örnek, bir milyondan fazla WordPress web sitesinin kullandığı, Essential Addons for Elementor Plugin adlı bir eklentideki kritik bir ayrıcalık yükseltme güvenlik açığıdır. CVE-2023-32243 olarak izlenen güvenlik açığı, eklentinin 5.4.0’dan 5.7.1’e kadar olan sürümlerini etkiliyor ve kimliği doğrulanmamış bir saldırganın, bir yöneticininki de dahil olmak üzere WordPress sitesindeki herhangi bir kullanıcının ayrıcalıklarına yükseltmesine olanak tanıyor.
Ayrıcalık Yükseltme Hatası
Patchstack’teki araştırmacılar, 8 Mayıs’ta güvenlik açığını keşfettiler ve Essential Addons for Elementor’ın yazarı WPDeveloper’a bildirdiler. 11 Mayıs’ta WPDeveloper, hatayı gideren yazılımın yeni bir sürümünü (sürüm 5.7.2) yayınladı. Satıcı, yeni sürümün yazılım için oturum açma ve kayıt formunda bir güvenlik geliştirmesi içerdiğini açıkladı.
Patchstack’e göre hata, Essential Addons’ın ilgili parola sıfırlama anahtarlarının mevcut ve meşru olup olmadığını doğrulamadan parolaları sıfırlama koduyla ilgili. Bu, kimliği doğrulanmamış bir saldırganın, etkilenen bir WordPress sitesindeki herhangi bir kullanıcının parolasını sıfırlaması ve hesaplarında oturum açması için bir yol sunar.
“Bu güvenlik açığı, çünkü [the] Patchstack bir gönderide, “şifre sıfırlama işlevi, bir şifre sıfırlama anahtarını doğrulamaz ve bunun yerine doğrudan verilen kullanıcının şifresini değiştirir” dedi.
Yeni hata, araştırmacıların son yıllarda WordPress eklentilerinde keşfettiği binlerce güvenlik açığından biri.
Patchstack, yalnızca 2022’de WordPress eklentilerinde 4.528 yeni güvenlik açığı saydı; bu, 2021’de gözlemlediği 1.382’den %328’lik şaşırtıcı bir artış. 2022’de WordPress ortamında bildirilen hataların %93’ünü eklentiler oluşturuyordu. çekirdek WordPress platformunun kendisi. Hataların yaklaşık %14’ü ya yüksek ya da kritik düzeydeydi.
Amansız Kusurlar Yağmuru
Trend bu yıl hız kesmeden devam etti. WordPress eklenti kusurlarını haftalık olarak izleyen bir şirket olan iThemes, 26 Nisan’da sona eren bir haftalık dönemde 160 güvenlik açığı saydı. Hatalar, yaklaşık 8 milyon WordPress web sitesini etkiledi ve güvenlik açığı ifşa edildiğinde bunlardan yalnızca 68’inde yamalar vardı.
Daha geçen hafta Patchstack, iki milyon web sitesini etkileyen farklı bir WordPress eklentisinde (Gelişmiş Özel Alanlar Eklentileri) başka bir ayrıcalık yükseltme güvenlik açığı bildirdi. Güvenlik açığı, saldırganlara hem etkilenen sitelerden hassas verileri çalmanın hem de bu sitelerdeki ayrıcalıkları artırmanın bir yolunu verdi.
Nisan ayında Sucuri, bir tehdit aktörünün en az son beş yıldır savunmasız eklentiler aracılığıyla WordPress sitelerine sistematik olarak kötü amaçlı yazılım enjekte ettiği “Balada Enjektörü” adlı bir kampanya hakkında bilgi verdi. Güvenlik satıcısı, kampanyanın arkasındaki tehdit aktörünün en az bir milyon WordPress sitesine site ziyaretçilerini sahte teknik destek sitelerine, hileli piyango sitelerine ve diğer dolandırıcılık sitelerine yönlendiren kötü amaçlı yazılım bulaştırdığını değerlendirdi.
Sucuri, tehdit aktörünün WordPress sitelerine karşı büyük saldırı dalgaları başlatmak için yeni açıklanan güvenlik açıklarını ve bazı durumlarda sıfır gün hatalarını kullandığını tespit etti.
Saldırganın WordPress ekosistemine olan ilgisinin çoğu, yaygın kullanımıyla ilgilidir. Dünya çapındaki WordPress sitelerinin tam sayısına ilişkin tahminler, bazıları sayıyı 800 milyona kadar çıkararak büyük farklılıklar gösteriyor. Bazılarının WordPress ile ilgili istatistikler için güvenilir bir kaynak olduğunu düşündüğü teknoloji araştırma sitesi W3Techs, dünya çapındaki tüm web sitelerinin yaklaşık %43’ünün şu anda WordPress kullandığını tahmin ediyor.
Patchstack’e göre, WordPress ekosisteminde rapor edilen artan sayıda güvenlik açığı, eklenti geliştiricilerin daha özensiz hale geldiğinin bir işareti olmayabilir. Bunun yerine, güvenlik araştırmacılarının daha dikkatli baktığını gösteriyor.
Patchstack, “Bu aynı zamanda WordPress ekosisteminin daha güvenli hale geldiği anlamına geliyor çünkü bu güvenlik hatalarının çoğu ele alınıyor ve yamalanıyor” dedi.