WordPress için Google Web Stories eklentisindeki bir güvenlik açığı, AWS sunucusunda barındırılan sitelerden Amazon Web Services (AWS) meta verilerini çalmak için bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı aracılığıyla kullanılabilir. Bu meta veriler, AccessKeyId, SecretAccessKey ve Token gibi hassas bilgileri içerebilir.
Bir SSRF güvenlik açığı, saldırganlara değiştirilmiş bir URL kullanarak güvenliği ihlal edilmiş bir sistemdeki ayrıcalıkları yükseltme ve böylece dahili kaynaklara erişim elde etme yolu sağlar.
Web Hikayeleri eklentisi, siteler ve uygulamalar arasında paylaşılabilen ve gömülebilen animasyonlar ve diğer etkileşimli grafiklerden oluşan, Web için açık bir görsel hikaye anlatımı biçimidir. Eklentinin 100.000’den fazla aktif kurulumu var.
Bir Wordfence araştırma ekibi, eklentinin SSRF hatasına karşı savunmasız olduğunu keşfetti (CVE-2022-3708) /v1/hotlink/proxy REST API Uç Noktası aracılığıyla bulunan “url” parametresi aracılığıyla sağlanan URL’lerin yetersiz doğrulanması nedeniyle 1.24.0’a kadar olan sürümlerde.
Wordfence Tehdit İstihbaratı ekibi üyesi Topher Tebow, “Bu güvenlik açığından yararlanarak kimliği doğrulanmış bir kullanıcı, web uygulamasından kaynaklanan rastgele konumlara web istekleri yapabilir.” 21 Aralık blog gönderisi.
Test sırasında ekibin EC2 Instance Connect; çalınan meta veriler daha sonra sanal sunucuda oturum açmak ve terminal aracılığıyla komutları çalıştırmak için kullanılabilir.
Araştırmacı, bunun buzdağının görünen kısmı olduğuna dikkat çekti: “AWS tarafından sağlanan ve her birinin belirli kullanımları olan ve kötüye kullanıldıklarında değişen önem derecelerine sahip birçok meta veri kategorisi vardır.”
Ekip, kusuru Ekim ayında buldu ve Kasım ayının sonunda, eklentideki güvenlik açığını tamamen yamalamak için iki kod bloğu güncellendi.
Tebow, “1.25.0 ve daha yeni sürümlerde uygulanan yama ile AWS meta verilerini elde etme girişimleri başarısız olacaktır.”
Abone gibi minimum izinlere sahip bir hesapla oturum açan kullanıcılar için saldırının başarılı olabileceğini, bu nedenle sorunun özellikle açık kayıt olan siteleri tehdit ettiğini sözlerine ekledi.
Tebow, “Kimliği doğrulanmış kullanıcının bu güvenlik açığından yararlanmak için yüksek düzeyde ayrıcalıklara ihtiyacı yoktur,” diye devam etti.
SSRF Güvenlik Açıklarını Sınırlandırmak için Sıfır Güven Kullanma
Tebow, “SSRF güvenlik açıkları gibi güvenlik açıklarının etkisini anlamak, geliştiriciler için çok önemlidir” diye yazdı. “Geliştirme aşamasında kodun güvenliğini sağlamak zor olabilir, bu nedenle kodun yazıldığı sırada ve yazıldıktan sonra güvenlik açıkları için test edilmesi gerekir.”
Geliştiricilere, her programlama dilinde bulunan güvenlik açıklarıyla ilgili oldukları için kodlama uygulamalarına çok dikkat etmeleri, tüm girdilerin doğrulandığından emin olmaları ve sıfır güven kimlik doğrulaması duruşunu benimsemeleri tavsiye edildi.
Tebow, “İç ve dış kaynaklar, bir iç konumdan gönderilen isteklerin doğası gereği güvenilir olduğunu varsayacak şekilde yapılandırılabileceğinden, SSRF güvenlik açıkları mümkündür.” “Her eylem için doğrulama ve yetkilendirme gerektirerek, bu varsayılan güven kaldırılır ve isteklerin güvenilir olarak değerlendirilmeden önce uygun şekilde doğrulanması gerekir.”
WordPress eklentilerinin ve temalarının sürekli kod incelemeleri ve güncellemeleri, geliştiricilerin WordPress tarafından oluşturulmuş web sitelerinin istismarlarını sınırlamak için atabilecekleri diğer adımlar arasındadır.
WordPress Siteleri Çok Sayıda Güvenlik Sorunuyla Karşı Karşıya
Kötü niyetli aktörler, yılın başından beri WordPress sitelerini hızlı bir şekilde hedefliyor – özellikle savunmasız eklentiler yoluyla – Şubat ayında, bir rapor, WordPress tarafından desteklenen on binlerce web sitesinin uzaktan kod yürütme yoluyla saldırıya açık olduğunu ortaya çıkardı ( Elementor için Essential Addons adlı yaygın olarak kullanılan bir eklentide RCE) hatası.
Mayıs ayında, Tatsu Builder WordPress eklentisindeki bilinen RCE kusurundan yararlanmak için yaygın bir saldırı başlatıldı ve iki ay sonra araştırmacılar, meşru WordPress sitelerine kötü amaçlı yazılım enjekte eden ve PayPal markalı sahte bir sosyal mühendislik dolandırıcılığı kullanan bir kimlik avı kiti keşfettiler. .
Daha yakın zamanlarda, SolarMarker adlı bir tehdit grubu, kurbanları sahte Chrome tarayıcı güncellemelerini indirmeye teşvik etmek için WordPress tarafından işletilen savunmasız bir web sitesinden yararlanırken, başka bir saldırgan grubu, tahminen 140.000 web sitesinin kullandığı bir WordPress eklentisi olan BackupBuddy’deki kritik bir güvenlik açığından aktif olarak yararlanıyordu. kurulumlarını yedeklemek için kullanıyor.