Araştırmacılar, on binlerce WordPress web sitesinde bulunan ciddi bir güvenlik açığının doğada kötüye kullanıldığı konusunda uyardı.
Wordfence Threat Intelligence ekibinden güvenlik uzmanları, yakın zamanda popüler CMS platformu için Tatsu Builder adlı bir eklentide bir uzaktan kod yürütme (RCE) güvenlik açığı keşfetti.
Güvenlik açığı CVE-2021-25094 olarak izleniyor ve ilk olarak bu yılın Mart ayı sonlarında tespit edildi. WordPress eklentisinin hem ücretsiz hem de premium sürümlerinde bulunur.
Kötü amaçlı yazılım dağıtma
Saldırganlar, daha sonra ek kötü amaçlı yazılım yükleyen bir damlalık dağıtmak için WordPress eklentisindeki kusuru kullanıyor. Damlalık genellikle wp-content/uploads/typehub/custom/ içindeki rastgele bir alt klasöre yerleştirilir.
Dosya adı, gizli bir dosyayı gösteren bir nokta simgesiyle başlar. Araştırmacılar, bir yarış koşulundan yararlandığı için güvenlik açığından yararlanmak için bunun gerekli olduğunu söylüyorlar.
Eklentinin WordPress.org deposunda listelenmediği göz önüne alındığında, Wordfence, tam olarak kaç web sitesinin kurulu olduğunu belirlemenin çok zor olduğunu söylüyor. Yine de şirket, 20.000 ila 50.000 web sitesinin Tatsu Builder’ı kullandığını tahmin ediyor.
Yöneticiler yaklaşık on gün önce kusur konusunda uyarılmış olsalar da, Wordfence en az dörtte birinin savunmasız kaldığına inanıyor, bu da 5.000 ila 12.500 web sitesinin hala saldırıya uğrayabileceği anlamına geliyor.
Araştırmacılar, bir hafta önce başlayan saldırıların hala devam ettiğini söyleyerek, saldırı hacminin zirve yaptığını ve o zamandan beri düştüğünü de sözlerine ekledi.
Çoğu, web sitesinin savunmasız olup olmadığını belirlemeye çalışan sonda saldırılarıdır. Görünüşe göre saldırıların çoğu sadece üç farklı IP’den geldi.
Hedeflenip hedeflenmediklerini merak eden yöneticiler, aşağıdaki sorgu dizesi için günlüklerini kontrol etmelidir: /wp-admin/admin-ajax.php?action=add_custom_font
Tatsu Builder eklentisi kurulu olanların, mümkün olan en kısa sürede en son sürüme (3.3.13) güncelleme yapmaları istenmektedir.