Bilgisayar korsanları, özellikle emlak web sitelerinde kullanılan iki premium eklenti olan Houzez temasındaki ve WordPress eklentisindeki kritik öneme sahip iki güvenlik açığından aktif olarak yararlanıyor.
Houzez teması, kolay listeleme yönetimi ve sorunsuz bir müşteri deneyimi sunan, 69 ABD dolarına mal olan birinci sınıf bir eklentidir. Satıcının sitesi, emlak sektöründe 35.000’den fazla müşteriye hizmet verdiğini iddia ediyor.
İki güvenlik açığı, Patchstack’in tehdit araştırmacısı Dave Jong tarafından keşfedildi ve temanın satıcısı “ThemeForest”a bildirildi.
Ancak yeni bir Patchstack raporu, bazı web sitelerinin güvenlik güncellemesini uygulamadığı ve tehdit aktörlerinin devam eden saldırılarda bu eski kusurları aktif olarak kullandığı konusunda uyarıda bulunuyor.
Sitelerin kontrolünü ele geçirmek için kötüye kullanıldı
İlk Houzez kusuru, CVE-2023-26540 olarak izlenir ve CVSS v3.1 standardına göre 10 üzerinden 9,8 önem derecesine sahiptir ve kritik bir güvenlik açığı olarak kategorize edilir.
Bu, Houzez Theme eklentisi sürüm 2.7.1 ve daha eski sürümlerini etkileyen bir güvenlik yanlış yapılandırmasıdır ve ayrıcalık yükseltme gerçekleştirmek için kimlik doğrulama gerektirmeden uzaktan kullanılabilir.
Sorunu çözen sürüm, Houzez teması 2.7.2 veya üzeridir.
İkinci kusur, CVE-2023-26009 tanımlayıcısını aldı ve aynı zamanda kritik olarak derecelendirildi (CVSS v3.1: 9.8), Houzes Login Register eklentisini etkiledi.
2.6.3 ve daha eski sürümleri etkileyerek, kimliği doğrulanmamış saldırganların eklentiyi kullanan sitelerde ayrıcalık yükseltmesi gerçekleştirmesine izin verir.
Güvenlik tehdidini ele alan sürüm, Houzez Login Register 2.6.4 veya sonraki sürümüdür.
Dave Jong, BleepingComputer’a tehdit aktörlerinin hesap oluşturma isteklerini dinleyen uç noktaya bir istek göndererek bu güvenlik açıklarından yararlandığını söyledi.
Sunucu tarafındaki bir doğrulama kontrolü hatası nedeniyle, saldırganların WordPress sitesi üzerinde tam kontrolü ele geçirmesine izin vererek, sitede bir yönetici kullanıcı oluşturmak için istek hazırlanabilir.
Patchstack tarafından gözlemlenen saldırılarda, tehdit aktörleri komutları çalıştırabilen, web sitesine reklam enjekte edebilen veya trafiği diğer kötü amaçlı sitelere yönlendirebilen bir arka kapı yükledi.
PatchStack araştırmacısı “İstenen kullanıcı rolü kullanıcı tarafından sağlanabildiği, ancak sunucu tarafında doğru şekilde doğrulanmadığı için, yönetici kullanıcı rolüne sahip yeni bir hesap oluşturmak için” yönetici “değerine ayarlanabilir.” D. Jong, BleepingComputer’a söyledi.
“Bundan sonra, siteyle istedikleri her şeyi yapabilirler, ancak genellikle gördüğümüz şey, arka kapı içeren kötü amaçlı bir eklentinin yükleneceğidir.
Ne yazık ki Patchstack, bunu yazarken kusurların kötüye kullanıldığını bildiriyor, bu nedenle mevcut yamaların uygulanması web sitesi sahipleri ve yöneticileri tarafından en yüksek önceliğe sahip olmalıdır.