Araştırmacılar, WP Meta SEO ve popüler WP İstatistikleri ve LiteSpeed gibi WordPress Eklentilerini rahatsız eden kimliği doğrulanmamış depolanmış XSS saldırılarını hızla keşfederler! Bu saldırıların nasıl çalıştığını, etkilerini ve sitenizi çok katmanlı bir savunmayla nasıl güçlendireceğinizi öğrenin.
Bulut güvenlik sağlayıcısı Fastly, milyonlarca web sitesine güç veren, dünya çapında kullanılan içerik yönetim sistemi (CMS) WordPress’in, kimliği doğrulanmamış depolanan Siteler Arası Komut Dosyası (XSS) güvenlik açıklarından yararlanan saldırılarda kötüye kullanıldığı konusunda uyarıyor. Şirket, popüler WordPress eklentilerindeki üç yüksek önemdeki güvenlik açığını hedef alan aktif istismar girişimlerini keşfetti.
Fastly’nin blog gönderisine göre saldırganlar, yeni yönetici hesapları oluşturmak, eklenti ve tema dosyalarına PHP arka kapıları enjekte etmek ve etkilenen hedefleri izlemek için izleme komut dosyaları oluşturmak için web sitelerine kötü amaçlı komut dosyaları ve arka kapılar enjekte ediyor. Kötü amaçlı yüklere beş alanda ve daha önce WordPress eklentisinden yararlanılmasıyla ilişkilendirilen iki ek izleme tabanlı alan adından başvurulmuştu.
Savunmasız eklentiler arasında WP Meta SEO yer alıyor ve sırasıyla 600.000 ve 5 milyondan fazla aktif kuruluma sahip olan popüler WP İstatistik ve LiteSpeed Cache eklentileri, URL arama parametreleri ve yönetici bildirimleri olarak gizlenen komut dosyaları yoluyla enjekte edilen kötü amaçlı yüklerle saldırılara karşı savunmasız bulundu. yaygın uzlaşmaya varmak.
Bilginiz olsun, Kimliği Doğrulanmamış Saklanan XSS, bir WordPress sitesine enjekte edildiğinde çerezler ve oturum belirteçleri gibi hassas bilgilere yetkisiz erişime izin veren kötü amaçlı bir komut dosyasıdır.
Güvenlik Açığı Ayrıntıları
CERT PL araştırmacısı Krzysztof Zając tarafından Nisan 2024’te keşfedilen CVE-2023-6961, WP Meta SEO eklentisindeki bir güvenlik açığını açığa çıkarıyor; bu güvenlik açığı, saldırganlar tarafından hedef siteye bir yük göndererek, 404 yanıtı oluşturarak ve bir 404 yanıtı ekleyerek istismar edilebilir. veritabanına temizlenmemiş başlık.
Tim Coen tarafından Mart 2024’te keşfedilen CVE-2024-2194, bir kullanıcı enjekte edilen sayfaya eriştiğinde kimliği doğrulanmamış saldırganların WP İstatistik eklentisi 14.5 ve önceki sürümlerine web komut dosyaları eklemesine olanak tanır. 14.5’in altındaki sürümler, eklentiyi kullanan tüm web sitelerinin %48’inde etkin kalıyor.
Patchstack tarafından Şubat 2024’te keşfedilen CVE-2023-40000, LiteSpeed Cache eklentisinde depolanan bir siteler arası komut dosyası çalıştırma güvenlik açığını açığa çıkarıyor ve bir yönetici, yönetici bildirimi kılığında bir arka uç sayfasına eriştiğinde bir XSS güvenlik açığını tetikliyor.
WordPress eklentileri, kullanıcı tarafından oluşturulan içeriğe dayanır ve bu içerik, uygun şekilde doğrulanmadığı ve temizlenmediği takdirde kötü amaçlı komut dosyalarına karşı savunmasız olabilir. Herhangi bir istismar, oturumun ele geçirilmesi, veri hırsızlığı, kötü amaçlı yazılım dağıtımı ve web sitesinin tahrif edilmesi gibi ciddi sonuçlara yol açabilir.
WordPress sitenizi kimliği doğrulanmamış depolanan XSS saldırılarından korumak için çekirdeğinizi, eklentilerinizi ve temalarınızı düzenli olarak güncelleyin, giriş doğrulama ve temizlemeye öncelik verin, sitenizi güvenlik açıklarına karşı düzenli olarak tarayın, bir Web Uygulaması Güvenlik Duvarı (WAF) uygulayın ve güçlü şifreler ve Çok Faktörlü Kimlik Doğrulama kullanın (MFA).
Uzman Yorumu
Critical Start Tehdit Tespit Mühendisi Adam Neel konu hakkında yorum yaptı ve Hackread.com’a şunları söyledi: “Bu WordPress güvenlik açıkları, saldırganların siteler arası komut dosyası oluşturma (XSS) yoluyla yönetici kimlik bilgilerini çalmasına olanak tanır ve WordPress yöneticileri, diğer kullanıcıları kaldırmak, sayfaları silmek ve tüm arka uç içeriğini görebilmek gibi bir saldırganın elinde olmasını istemeyeceğiniz yeteneklere sahiptir. ,“ uyardı.
“Bu, saldırganların sahip olabileceği zengin bir bilgi ve güçtür, dolayısıyla web sitesi yöneticilerinin savunmasız eklentileri güncellemesi gerekir. Tüm WordPress eklentilerinin, özellikle WP İstatistikleri, WP Meta SEO ve LiteSpeed Cache’in en son sürümlere güncellendiğinden emin olun“ Adem tavsiye etti.
İLGİLİ KONULAR
- WordPress Web Siteleri için En İyi 5 CAPTCHA Eklentisi
- WordPress Web Siteleri Yeni Sign1 Kötü Amaçlı Yazılımla Saldırıya Uğradı
- WordPress Web Siteleri Balada Kötü Amaçlı Yazılımla Saldırıya Uğradı
- FakeUpdates Kötü Amaçlı Yazılım Milyonlarca WordPress Sitesini Hedefliyor
- Sıfır Gün İstismarı 200.000 WordPress Web Sitesini Tehdit Ediyor