Bilgisayar korsanları, WordPress eklentisi 简数采集器 (Keydatas)’daki kritik bir güvenlik açığını aktif olarak istismar ediyor.
CVE-2024-6220 güvenlik açığı, kimliği doğrulanmamış tehdit aktörlerinin güvenlik açığı bulunan bir siteye keyfi dosyalar yüklemesine olanak tanıyor ve bu da uzaktan kod yürütülmesine ve sitenin tamamının ele geçirilmesine yol açabiliyor.
Bu endişe verici gelişme, güncel eklentilerin ve güçlü güvenlik önlemlerinin sürdürülmesinin önemini bir kez daha ortaya koyuyor.
Keşif ve İlk Müdahale
18 Haziran 2024’te, Wordfence’in Hata Ödül Programı’nın 0 günlük Tehdit Avı Promosyonu sırasında, Foxyyy adlı bir araştırmacı bu güvenlik açığını keşfetti ve sorumlu bir şekilde bildirdi.
Kusur, 5.000’den fazla etkin kurulumu olan Keydatas eklentisinde bulundu. Güvenlik açığı hızla doğrulandı ve günler içinde etkin istismar girişimleri gözlemlendi.
Wordfence Intelligence’ın güvenlik açığı özeti, WordPress için 简数采集器 (Keydatas) eklentisinde 2.5.2’ye kadar olan tüm sürümleri etkileyen kritik bir açığı ortaya koyuyor.
CVE-2024-6220 olarak tanımlanan bu güvenlik açığı, keydatas_downloadImages işlevindeki eksik dosya türü doğrulaması nedeniyle kimliği doğrulanmamış rastgele dosya yüklemelerine izin veriyor.
Bağlanmak | Detaylar |
Tanım | Basit sayı toplayıcı (Anahtar Veriler) <= 2.5.2 – Kimliği Doğrulanmamış Rastgele Dosya Yükleme |
Etkilenen Eklenti | Basit sayı toplayıcı (Anahtar Veriler) |
Eklenti Slug’ı | anahtar veriler |
Etkilenen Sürümler | <= 2.5.2 |
CVE Kimliği | CVE-2024-6220 |
CVSS Puanı | 9.8 (Kritik) |
CVSS Vektör | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Araştırmacı | Tilkiiii |
Tam Yamalı Sürüm | 2.6.1 |
Ödül Ödülü | $488.00 |
Güvenlik Açığı Ayrıntıları | Güvenlik açığı, keydatas_downloadImages işlevindeki eksik dosya türü doğrulamasından kaynaklanmaktadır ve saldırganların kötü amaçlı PHP betikleri de dahil olmak üzere keyfi dosyaları WordPress yükleme dizinine yüklemesine olanak tanır. Bu dizin herkese açıktır ve uzaktan kod yürütülmesine olanak tanır. |
Teknik Analiz
Keydatas eklentisi, bir WordPress sitesini keydatas.com uygulamasıyla bağlar ve bu uygulama öncelikli olarak WordPress gönderilerini yönetmek için kullanılır. Eklentinin keydatas_post_doc() işlevi bir parola kontrolü içerir ancak varsayılan parola “keydatas.com” olarak ayarlanmıştır.
$kds_password = get_option('keydatas_password', "keydatas.com"
$post_password = keydatas_getPostValSafe('kds_password');
if (empty($post_password) || $post_password != $kds_password) {
keydatas_failRsp(1403, "password error", "提交的发布密码错误");
}
Site sahipleri bu varsayılan parolayı değiştirmezlerse saldırganlar eklentinin güvenlik açığı bulunan keydatas_downloadImages() fonksiyonu da dahil olmak üzere tüm fonksiyonlarını kötüye kullanabilirler.
$docImgsStr = keydatas_getPostValSafe("__kds_docImgs");
if (!empty($docImgsStr)) {
$docImgs = explode(',',$docImgsStr);
if (is_array($docImgs)) {
$upload_dir = wp_upload_dir();
foreach ($docImgs as $imgUrl) {
$urlItemArr = explode('/',$imgUrl);
$itemLen=count($urlItemArr);
if($itemLen>=3){
//
$fileRelaPath=$urlItemArr[$itemLen-3].'/'.$urlItemArr[$itemLen-2];
$imgName=$urlItemArr[$itemLen-1];
$finalPath=$upload_dir['basedir'] . '/'.$fileRelaPath;
if (wp_mkdir_p($finalPath)) {
$file = $finalPath . '/' . $imgName;
if(!file_exists($file)){
$doc_image_data = file_get_contents($imgUrl);
file_put_contents($file, $doc_image_data);
}
}
}
}//.for
}//..is_array
}
Fonksiyon, file_get_contents() kullanarak __kds_docImgs istek parametresinde belirtilen dosyaları indirir ve file_put_contents() kullanarak bunları WordPress yükleme dizinine yükler.
Dosya türü veya uzantı kontrollerinin olmaması, saldırganların kötü amaçlı PHP dosyaları yüklemesine ve potansiyel olarak site sitelerini tehlikeye atmasına olanak tanır.
En Çok Saldıran IP Adresleri
- 103.233.8.166 (Hong Kong)
- 103.233.8.0 (Hong Kong)
- 163.172.77.82 (Fransa)
- 84.17.37.217 (Hong Kong)
- 84.17.57.0 (Hong Kong)
Wordfence Premium, Care ve Response kullanıcıları, 20 Haziran 2024’te bu güvenlik açığına karşı koruma sağlamak amacıyla bir güvenlik duvarı kuralı aldı.
Ücretsiz kullanıcılar aynı korumayı 20 Temmuz 2024’te aldı. Keydatas ekibiyle 20 Haziran 2024’te iletişime geçildi ancak herhangi bir yanıt alınamayınca sorun WordPress.org Güvenlik Ekibi’ne iletildi ve eklentinin 16 Temmuz 2024’te kapatılmasına yol açtı.
29 Temmuz 2024’te bir yama yayınlandı. Kullanıcıların en son yamalı sürüm olan 2.6.1’e derhal güncellemeleri önemle rica olunur.
Bu tür istismarlara karşı korunmak için eklentilerin düzenli olarak güncellenmesi, güvenlik taramalarının yapılması ve güçlü bir güvenlik duvarı korumasının kullanılması gerekir.
Keydatas eklentisindeki CVE-2024-6220 güvenlik açığının aktif olarak kullanılması, web sitesi güvenliğinin sağlanmasında dikkatli olmanın kritik önemini vurgulamaktadır.
Web sitesi sahipleri, bilgili ve proaktif kalarak sitelerini kötü niyetli saldırılardan koruyabilir ve herkes için daha güvenli bir web ortamı sağlayabilirler.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access