Automattic’in güvenlik ekibi WPScan, WordPress web sitelerinin son zamanlarda LiteSpeed Cache eklentisinin savunmasız sürümleri kullanılarak kötü amaçlı JavaScript’lerin enjekte edilmesiyle saldırı altında olduğunu iddia ediyor.
2024 yılı itibarıyla internette 1,89 milyardan fazla web sitesi bulunmaktadır ve bunların yaklaşık 835 milyonu İçerik Yönetim Sistemi (CMS) olarak WordPress’e güvenmektedir ve dünya çapındaki toplam web sitesi sayısının yaklaşık %43,3’ünü oluşturmaktadır. Bu, CMS’yi siber suçlular için kazançlı bir hedef haline getiriyor.
WPSCan’ın blog gönderisine göre, tehdit aktörleri eklentide, kimliği doğrulanmamış bir kullanıcının özel hazırlanmış HTTP istekleri aracılığıyla ayrıcalıkları yükseltmesine olanak tanıyan depolanmış bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığından yararlanıyor. 5.7.0.1’den eski LiteSpeed Cache eklenti sürümleri, CVE-2023-40000 olarak takip edilen ve Şubat 2024’te Patchstack tarafından açıklanan yüksek önem derecesine sahip (8.8) kimlik doğrulamasız siteler arası komut dosyası çalıştırma hatasına karşı savunmasızdır.
Güvenlik Açığı Anlamak
Güvenlik açığı, eklentinin eski sürümlerinde kimlik doğrulaması yapılmadan saklanan XSS’de (siteler arası komut dosyası oluşturma) yatmaktadır. Kimliği doğrulanmamış XSS, bir saldırganın kötü amaçlı kod eklemek için oturum açma kimlik bilgilerine ihtiyaç duymadığı anlamına gelir.
Öte yandan, Saklanan XSS, kötü amaçlı kodun web sitenizin veritabanında depolandığı ve güvenliği ihlal edilmiş sayfayı ziyaret eden herhangi bir kullanıcıya bulaştığı anlamına gelir. Saldırganlar, bu kusurdan yararlanarak WordPress dosyalarına ve veritabanına kötü amaçlı JavaScript kodu enjekte ederek ‘wpsupp-user’ veya ‘wp-configuser’ adlı yönetici kullanıcılar oluşturuyor.
Kötü amaçlı URL’leri ve IP’leri genellikle içerdikleri şekilde tanımlayabilirsiniz (startservicefounds . com/service/f.php, apistartservicefounds.com ve (cachecloudswiftcdn . com) ve kötü amaçlı yazılımla ilişkili IP 45.150.67.235 olarak izlendi.
Potansiyel Tehlikeler
LiteSpeed Cache, beş milyondan fazla WordPress sitesinde Google Arama sıralamasını yükseltme özellikleri için kullanılan popüler bir eklentidir. Kusur, Ekim 2023’te 5.7.0.1 sürümünde giderildi ve en son sürüm olan 6.2.0.1, 25 Nisan 2024’te yayımlandı. Ancak, güvenlik açığı olmayan sürümlere geçişe rağmen 1.835.000 kullanıcı hala güvenlik açığı bulunan sürümleri çalıştırıyor; bu da enfeksiyona işaret ediyor, araştırmacılar kayıt edilmiş.
WordPress sitelerinde yönetici hesapları oluşturmak, tehdit aktörlerinin tam kontrolü ele geçirmesine ve kötü amaçlı yazılım enjekte etme veya kötü amaçlı eklentiler yükleme gibi keyfi eylemler gerçekleştirmesine olanak tanıyarak ciddi sonuçlara yol açabilir. Dikkatli olun!
Bu gelişme, Sucuri’nin, kullanıcıları sahte sitelere yönlendirmek için sahte CAPTCHA istemleri kullanan Mal.Metrica adlı bir yönlendirme dolandırıcılığı kampanyasını ortaya çıkarmasından sonra geldi.
WordPress sitenizin güvenliğini sağlamak için LiteSpeed Cache eklentisini en son sürüme güncelleyin, saygın bir WordPress güvenlik tarayıcısını kullanarak kötü amaçlı yazılımlara karşı tarama yapın ve tüm oturum açma kimlik bilgilerini değiştirin. WPScan, litespeed.admin_display.messages seçeneğinde veya wpsupp-user’ın varlığında şüpheli dizelerin aranmasını önerir.
İLGİLİ KONULAR
- WordPress Web Siteleri için En İyi 5 CAPTCHA Eklentisi
- WordPress Web Siteleri Yeni Sign1 Kötü Amaçlı Yazılımla Saldırıya Uğradı
- WordPress Web Siteleri Balada Kötü Amaçlı Yazılımla Saldırıya Uğradı
- FakeUpdates Kötü Amaçlı Yazılım Milyonlarca WordPress Sitesini Hedefliyor
- Sıfır Gün İstismarı 200.000 WordPress Web Sitesini Tehdit Ediyor