Bilgisayar korsanları, yaygın bir WooCommerce Payments eklentisi güvenlik açığından yararlanmak ve yönetici hakları elde etmek için savunmasız WordPress web sitelerini aktif olarak hedefler.
600.000’den fazla aktif kuruluma sahip WooCommerce Payments eklentisi, WooCommerce mağazalarında kredi ve banka kartı ödemelerini kolaylaştırır.
Wordfence Tehdit İstihbaratı ekibinin siber güvenlik analistleri yakın zamanda WooCommerce Payments eklentisindeki güvenlik açığını keşfettiler ve CVE-2023-28121 olarak izlediler.
Kusur İstismarı
14-16 Temmuz 2023 tarihleri arasında 157.000 siteye yapılan 1,3 milyon saldırıyla birlikte çok büyük saldırılar bu güvenlik açığından yararlandı.
WordPress siteleri için otomatik zorunlu güvenlik düzeltmeleri, uzaktaki kullanıcıların yöneticilerin kimliğine bürünmesini ve tam denetim kazanmasını engeller. Hiçbir aktif istismar bildirilmemiş olsa da, araştırmacılar, hatanın kritik doğası nedeniyle gelecekteki istismarlara karşı uyarıda bulundu.
Wordfence araştırmacıları, RCE Security’nin kavram kanıtı istismarıyla gösterildiği gibi, savunmasız WordPress siteleri üzerinde tam kontrol sağlayan bir ‘X-WCPAY-PLATFORM-CHECKOUT-USER’ başlığı ekleyerek WooCommerce Payments’taki bir kusurdan yararlanan saldırganları keşfetti.
Güvenlik açığı bulunan sitede uzaktan kod yürütmek için tehdit aktörü, yönetici ayrıcalıklarından yararlanarak WP Konsolu eklentisini yükler.
WP Konsolu kurulduktan sonra, tehdit aktörlerine PHP kodunu yürütme ve kalıcı bir dosya yükleyiciyi arka kapı olarak dağıtma yetkisi vererek güvenlik açığını düzelttikten sonra bile erişimi sürdürür.
Bu saldırı, daha küçük bir web sitesi grubuna odaklanmış gibi görünüyor ve erken uyarı işaretleri, milyonlarca sitede ‘readme.txt’ dosyasını arayan eklenti numaralandırma taleplerinde bir artış içeriyordu.
Wordfence, istismarı kullanarak rastgele parolalarla yönetici hesapları oluşturan saldırganları gözlemler ve tehdit aktörleri aşağıdaki dizine erişerek savunmasız siteleri tarar: –
‘/wp-content/plugins/woocommerce-payments/readme.txt.’
IP’ler Algılandı
Bunun dışında saldırılarda güvenlik araştırmacıları tarafından 213.212 site taranarak 194.169.175.93 olmak üzere yedi IP adresi tespit edildi.
- 194.169.175.93: 213.212 site saldırıya uğradı
- 2a10:cc45:100::5474:5a49:bfd6:2007: 90.157 site saldırıya uğradı
- 103.102.153.17: 27.346 site saldırıya uğradı
- 79.137.202.106: 14.799 site saldırıya uğradı
- 193.169.194.63: 14.619 site saldırıya uğradı
- 79.137.207.224: 14.509 site saldırıya uğradı
- 193.169.195.64: 13.491 site saldırıya uğradı
Readme.txt isteklerinde dağıtılan binlerce IP adresi vardır. Bununla birlikte, yalnızca yaklaşık 5.000 tanesi gerçek saldırılar gerçekleştirdi ve bu da onları savunanlar için daha az değerli hale getirdi.
CVE-2023-28121’in oluşturduğu riski azaltmak için, tüm WooCommerce Payment eklentisi kullanıcılarının kurulumlarını hemen güncellemeleri şiddetle tavsiye edilir. Ek olarak, site yöneticileri tuhaf PHP dosyaları ve şüpheli yönetici hesapları için tarama yapmalıdır.