Bilinmeyen bir tehdit aktörü beş (ve muhtemelen daha fazla) WordPress eklentisini ele geçirdi ve bunlara yeni bir yönetici hesabı oluşturan kod enjekte ederek WordPress kurulumları / web siteleri üzerinde tam kontrol sağlamalarına etkili bir şekilde izin verdi.
Wordfence araştırmacıları, “Ayrıca tehdit aktörünün, web sitesinin tamamına SEO spam’ı ekleyen kötü amaçlı JavaScript’i web sitelerinin alt bilgisine de yerleştirdiği anlaşılıyor” dedi.
Güvenliği ihlal edilmiş eklentiler
Arka kapılı eklentiler toplu olarak 35.000’den fazla WordPress kullanıcısı tarafından indirildi. Bunlar:
Wordfence Tehdit İstihbaratı ekibi Pazartesi günü yaptığı açıklamada, “Enjekte edilen kötü amaçlı kod çok karmaşık veya çok karmaşık değil ve takip etmeyi kolaylaştıran yorumlar içeriyor” dedi.
“En erken enjeksiyonun tarihi 21 Haziran 2024’e kadar uzanıyor gibi görünüyor ve tehdit aktörü 5 saat öncesine kadar aktif olarak eklentilerde güncellemeler yapıyordu. Şu anda tehdit aktörünün bu eklentilere nasıl bulaştığını tam olarak bilmiyoruz.”
Ne yapalım?
O zamandan beri, son eklenti dışındaki tüm eklentiler geliştiricileri tarafından güncellendi (muhtemelen), ancak yeni sürümler şu anda indirilemiyor çünkü WordPress.org “tam inceleme bekleniyor” seçeneğini engelledi.
Wordfence tehdit analistleri, “Bu eklentilerden herhangi biri yüklüyse kurulumunuzun tehlikeye girdiğini düşünmeli ve derhal olay müdahale moduna geçmelisiniz” tavsiyesinde bulunuyor.
Bu, bilinmeyen/yetkisiz WordPress yönetici kullanıcı hesaplarının kontrol edilmesini ve silinmesini, Wordfence eklentisi veya Wordfence CLI ile tam bir kötü amaçlı yazılım taraması çalıştırmayı ve bulunan tüm kötü amaçlı kodları veya yapıları kaldırmayı içermelidir.
Örneğin, bir yorumcunun keşfettiği gibi, “kötü niyetli olarak eklenen yönetici hesapları [have been] Matomo’nun wp_matomo_user tablosunda çoğaltıldı.”
Wordfence, kullanıma sunuldukça daha fazla bilgi sağlayacağının sözünü verdi ve bu ele geçirilen WordPress eklentilerinin tespitini sağlamak için bir dizi kötü amaçlı yazılım imzası üzerinde çalıştıklarını söyledi.