Saldırganlar, yaklaşık 140.000 web sitesinin kurulumlarını yedeklemek için kullandığı bir WordPress eklentisi olan BackupBuddy’deki kritik bir güvenlik açığından aktif olarak yararlanıyor.
Güvenlik açığı, saldırganların, yapılandırma bilgilerini ve parolalar gibi daha fazla güvenlik açığı için kullanılabilecek hassas verileri içerenler de dahil olmak üzere, etkilenen web sitelerinden rastgele dosyaları okumasına ve indirmesine olanak tanır.
WordPress güvenlik sağlayıcısı Wordfence, 26 Ağustos’tan itibaren açığı hedefleyen saldırıları gözlemlediğini bildirdi ve 5 milyona yakın saldırıyı engelledi o zamandan beri. Eklentinin geliştiricisi iThemes, saldırıların başlamasından bir haftadan fazla bir süre sonra 2 Eylül’de kusur için bir yama yayınladı. Bu, yazılımı kullanan en azından bazı WordPress sitelerinin güvenlik açığı için bir düzeltme kullanıma sunulmadan önce güvenliğinin ihlal edilmiş olma olasılığını artırıyor.
Bir Dizin Geçiş Hatası
iThemes, web sitesinde yaptığı açıklamada, dizin geçişi güvenlik açığını, çalışan web sitelerini etkilemek olarak tanımladı. BackupBuddy sürümleri 8.5.8.0 ila 8.7.4.1. Eklenti kullanıcılarını, şu anda eklentinin savunmasız bir sürümünü kullanmasalar bile, hemen BackupBuddy sürüm 8.75’e güncellemeye çağırdı.
Eklenti üreticisi, “Bu güvenlik açığı, bir saldırganın sunucunuzdaki WordPress kurulumunuz tarafından okunabilen herhangi bir dosyanın içeriğini görüntülemesine izin verebilir” diye uyardı.
iThemes’in uyarıları, site operatörlerinin web sitelerinin güvenliğinin ihlal edilip edilmediğini nasıl belirleyebilecekleri ve güvenliği geri yüklemek için atabilecekleri adımlar konusunda rehberlik sağladı. Bu önlemler, veritabanı parolasını sıfırlamayı, şifrelerini değiştirmeyi içeriyordu. WordPress tuzlarıve site yapılandırma dosyalarında dönen API anahtarları ve diğer gizli diziler.
Wordfence, saldırganların ” /wp-config.php ve /etc/passwd dosyası gibi bir kurbanı daha fazla tehlikeye atmak için kullanılabilecek hassas dosyaları” almaya çalışmak için kusuru kullandığını gördüğünü söyledi.
WordPress Eklenti Güvenliği: Endemik Bir Sorun
BackupBuddy kusuru, son yıllarda WordPress ortamlarında açıklanan – neredeyse tamamı eklentileri içeren – binlerce kusurdan sadece biridir.
Bu yılın başlarında yayınlanan bir raporda iThemes, toplam 1.628 açıklanmış WordPress güvenlik açığı 2021’de — ve bunların %97’sinden fazlası eklentileri etkiledi. Neredeyse yarısı (%47,1) yüksek ila kritik önem derecesine sahip olarak derecelendirilmiştir. Ve endişe verici bir şekilde, savunmasız eklentinin %23,2’sinin bilinen bir düzeltmesi yoktu.
Dark Reading tarafından Ulusal Güvenlik Açığı Veritabanının (NVD) hızlı bir şekilde taranması, WordPress sitelerini etkileyen birkaç düzine güvenlik açığının yalnızca Eylül ayının ilk haftasında açıklandığını gösterdi.
WordPress sitelerinin tek sorunu güvenlik açığı bulunan eklentiler değildir; kötü amaçlı eklentiler başka bir sorundur. Georgia Institute of Technology’deki araştırmacıların yürüttüğü 400.000’den fazla web sitesi üzerinde yapılan geniş çaplı bir araştırma, şaşırtıcı 47.337 kötü amaçlı eklenti 24.931 web sitesine yüklendi, çoğu hala aktif.
JupiterOne CISO’su Sounil Yu, WordPress ortamlarının doğasında bulunan risklerin, işlevselliği genişletmek için eklentileri, entegrasyonları ve üçüncü taraf uygulamalarını kullanan herhangi bir ortamda mevcut olan risklere benzediğini söylüyor.
“Akıllı telefonlarda olduğu gibi, bu tür üçüncü taraf bileşenler temel ürünün yeteneklerini genişletiyor, ancak temel ürünün saldırı yüzeyini önemli ölçüde artırdıkları için güvenlik ekipleri için de sorunlu” diye açıklıyor ve bu ürünleri incelemenin de zor olduğunu ekliyor. çok sayıda olmaları ve net bir kökene sahip olmamaları nedeniyle.
Yu, “Güvenlik ekiplerinin ilkel yaklaşımları var, çoğu zaman üç P olarak adlandırdığım şeye üstünkörü bir bakış sunuyor: popülerlik, amaç ve izinler” diyor Yu. “Apple ve Google tarafından yönetilen uygulama mağazalarına benzer şekilde, kötü amaçlı yazılımları sağlamak için pazar yerleri tarafından daha fazla inceleme yapılması gerekiyor. [plug-ins, integrations, and third-party apps] müşterileri için sorun yaratmayın” diye belirtiyor.
Viakoo CEO’su Bud Broomhead, WordPress’in yaygın olarak kullanılmasına rağmen, genellikle BT veya güvenlik uzmanları tarafından değil, pazarlama veya Web tasarım uzmanları tarafından yönetildiğini söylüyor.
Broomhead, Dark Reading’e “Yüklemek kolaydır ve kaldırmak sonradan düşünülür veya hiç yapılmaz” diyor. “Tıpkı saldırı yüzeyinin IoT/OT/ICS’ye kayması gibi, tehdit aktörleri de BT tarafından yönetilmeyen sistemleri, özellikle de WordPress gibi yaygın olarak kullanılan sistemleri hedefliyor.”
Broomhead, “WordPress, eklentilerin güvenlik açıkları olduğu konusunda uyarılar yayınlasa bile, güvenlik dışındaki öncelikler kötü amaçlı eklentilerin kaldırılmasını geciktirebilir” diye ekliyor.