Sorun, saldırganların Ultimate Üye eklentisindeki hileli yönetici hesaplarının oluşturulmasına izin veren bir kusurdan yararlanmasına olanak tanır.
Siber güvenlik araştırmacıları, WordPress web siteleri için yaygın olarak kullanılan Ultimate Üye eklentisinde kritik bir güvenlik açığını hedefleyen devam eden saldırılar keşfettiler. Kullanıcı kaydı ve giriş işlemlerini kolaylaştırmak için tasarlanan bu eklenti, şu anda dünya çapında 200.000’den fazla aktif web sitesinde yüklü.
Sıfır gün güvenlik açığından yararlanan saldırılar, bilgisayar korsanlarının hedef web sitelerinde yükseltilmiş ayrıcalıklar elde etmesine olanak tanıyarak, potansiyel olarak etkilenen siteler üzerinde yetkisiz erişime ve kontrole yol açar.
CVE-2023-3460 olarak izlenen güvenlik açığı, ciddiyetini gösteren 9.8 CVSS puanına sahiptir. Saldırganların, hileli yönetici hesaplarının oluşturulmasına izin veren Ultimate Üye eklentisindeki bir kusurdan yararlanmasını sağlar. Saldırganlar, eklenti içinde önceden tanımlanmış yasaklanmış kullanıcı meta anahtarlarını manipüle ederek, kısıtlamaları atlamak için eğik çizgiler ekleyebilir, kullanıcı meta anahtarı değerlerini değiştirebilir ve wp yeteneklerini “yönetici” olarak ayarlayabilir. Bu, onlara güvenliği ihlal edilmiş web sitelerine yönetici erişimi sağlar.
WordPress güvenlik firması WPScan’ın raporları, saldırıların en azından Haziran ayının başından beri devam ettiğini ve bazı kullanıcıların yetkisiz yönetici hesaplarının oluşturulması gibi şüpheli etkinlikleri halihazırda gözlemleyip bildirdiğini öne sürüyor.
Sorun, eklentinin engellenenler listesi mantığı ile WordPress’in meta veri anahtarlarını işleme biçimi arasındaki çelişkiden kaynaklanmaktadır. Eklentinin bakımcıları, 2.6.4, 2.6.5 ve 2.6.6 sürümleri dahil olmak üzere son sürümlerdeki ayrıcalık yükseltme hatasını gidermeye çalışsa da, güvenlik açığını tam olarak düzeltmedi.
Önde gelen bir başka güvenlik firması olan Wordfence de sıfır gün güvenlik açığının varlığını doğruladı ve devam eden istismar konusunda WordPress yöneticilerini uyardı. Saldırganların “wpenginer”, “wpadmins”, “wpengine backup”, “se brutal” ve “segs brutal” gibi kullanıcı adlarıyla hileli hesaplar oluşturduğunu keşfettiler.
Araştırmacılar, bu saldırılarla ilişkili risk göstergelerini (IoC’ler) paylaşarak yöneticilerin olası ihlalleri belirlemesine yardımcı oldu.
Eklenti geliştiricileri, güvenlik açığını gidermek için aktif olarak bir yama üzerinde çalışırken, şimdiye kadarki çabaları sorunu tam olarak çözmedi. Ultimate Member’ın (2.6.6) en son sürümü bile savunmasız durumda.
Bu arada, web sitesi sahiplerine, suistimal riskini azaltmak için Ultimate Üye eklentisini devre dışı bırakmaları veya kaldırmaları şiddetle tavsiye edilir. Ek olarak, yöneticiler yetkisiz hesapları belirlemek için sitelerinin yönetici rollerini denetlemelidir.
ALAKALI HABERLER
- WordPress Güvenliğinizi Artırmak için 7 İpucu
- En İyi WordPress Barındırmasında Nelere Bakmalı?
- WordPress yönetici erişimi vermeden önce izlenecek adımlar
- WordPress Sitenizin Saldırıya Uğradığını Gösteren 5 İşaret (Ve Nasıl Onarılır)
- Kritik WordPress eklentisi güvenlik açığı, veritabanlarının silinmesine izin verdi