Bilgisayar korsanları, yönetim ayrıcalıklarına sahip kullanıcı hesapları oluşturmak ve uzun vadeli erişim için arka kapılar yerleştirmek amacıyla WordPress için WP Otomatik eklentisindeki kritik önemdeki bir güvenlik açığını hedeflemeye başladı.
Şu anda 30.000’den fazla web sitesinde yüklü olan WP Otomatik, yöneticilerin çeşitli çevrimiçi kaynaklardan içerik içe aktarmayı (örneğin metin, resim, video) ve WordPress sitelerinde yayınlamayı otomatikleştirmesine olanak tanır.
İstismar edilen güvenlik açığı CVE-2024-27956 olarak tanımlandı ve 9,9/10 önem derecesi aldı.
Bu sorun, 13 Mart’ta PatchStack güvenlik açığı azaltma hizmetindeki araştırmacılar tarafından kamuya açıklandı ve 3.9.2.0’dan önceki WP Otomatik sürümlerini etkileyen bir SQL enjeksiyon sorunu olarak tanımlandı.
Sorun, eklentinin kullanıcı kimlik doğrulama mekanizmasında yer alıyor ve bu mekanizma, sitenin veritabanına SQL sorguları göndermek için atlanabilir. Bilgisayar korsanları, hedef web sitesinde yönetici hesapları oluşturmak için özel hazırlanmış sorguları kullanabilir.
5,5 milyondan fazla saldırı girişimi
PatchStack güvenlik sorununu açıkladığından beri Automattic’in WPScan’i, bu güvenlik açığından yararlanmaya çalışan 5,5 milyondan fazla saldırı gözlemledi ve bunların çoğu 31 Mart’ta kaydedildi.
WPScan, hedef web sitesine yönetici erişimi elde ettikten sonra saldırganların arka kapılar oluşturduğunu ve kodun bulunmasını zorlaştırmak için kodu gizlediğini bildiriyor.
WPScan’in raporunda şöyle yazıyor: “Bir WordPress sitesi ele geçirildiğinde, saldırganlar arka kapılar oluşturarak ve kodu gizleyerek erişimlerinin uzun ömürlü olmasını sağlarlar.”
Diğer bilgisayar korsanlarının aynı sorundan yararlanarak web sitesinin güvenliğini ihlal etmesini önlemek ve tespit edilmekten kaçınmak için bilgisayar korsanları, güvenlik açığı bulunan dosyayı “csv.php” olarak da yeniden adlandırır.
Tehdit aktörü, web sitesinin kontrolünü ele geçirdikten sonra genellikle dosya yüklemeye ve kod düzenlemeye olanak tanıyan ek eklentiler yükler.
WPScan, yöneticilerin web sitelerinin saldırıya uğrayıp uğramadığını belirlemesine yardımcı olabilecek bir dizi güvenlik ihlali göstergesi sağlar.
Yöneticiler, “xtw” ile başlayan bir yönetici hesabının ve adlı dosyaların varlığını arayarak bilgisayar korsanlarının web sitesini ele geçirdiğine dair işaretleri kontrol edebilir. web.php Ve index.phpBunlar son kampanyada yerleştirilen arka kapılardır.
İhlal riskini azaltmak için araştırmacılar, WordPress site yöneticilerine WP Otomatik eklentisini 3.92.1 veya sonraki bir sürüme güncellemelerini öneriyor.
WPScan ayrıca web sitesi sahiplerinin, bir tehlike durumunda temiz kopyaları hızlı bir şekilde yükleyebilmeleri için sitelerinin yedeklerini sık sık oluşturmalarını önerir.