Tehdit aktörleri, WordPress için WP‑Automatic eklentisindeki sitenin ele geçirilmesine izin verebilecek kritik bir güvenlik açığından aktif olarak yararlanmaya çalışıyor.
Eksiklik şu şekilde izlendi: CVE-2024-27956maksimum 10 üzerinden 9,9 CVSS puanına sahiptir. Eklentinin 3.9.2.0’dan önceki tüm sürümlerini etkiler.
WPScan, “Bir SQL enjeksiyon (SQLi) kusuru olan bu güvenlik açığı, saldırganların web sitelerine yetkisiz erişim elde etmek, yönetici düzeyinde kullanıcı hesapları oluşturmak, kötü amaçlı dosyalar yüklemek ve potansiyel olarak etkilenen sitelerin tam kontrolünü ele geçirmek için bu güvenlik açığından yararlanabilmesi nedeniyle ciddi bir tehdit oluşturuyor.” söz konusu bu hafta bir uyarıda bulundu.
Automattic’in sahibi olduğu şirkete göre sorun, eklentinin kullanıcı kimlik doğrulama mekanizmasından kaynaklanıyor; bu mekanizma, özel hazırlanmış istekler aracılığıyla veritabanına karşı keyfi SQL sorguları yürütmek için önemsiz bir şekilde atlatılabilir.
Şu ana kadar gözlemlenen saldırılarda, CVE-2024-27956, yetkisiz veritabanı sorgulamaları yapmak ve duyarlı WordPress sitelerinde yeni yönetici hesapları oluşturmak için kullanılıyor (örneğin, “xtw” ile başlayan adlar). sömürü eylemleri.
Buna, dosya yüklemeyi veya kodu düzenlemeyi mümkün kılan, virüslü siteleri hazırlayıcı olarak yeniden kullanma girişimlerini gösteren eklentilerin yüklenmesi de dahildir.
WPScan, “Bir WordPress sitesi ele geçirildiğinde, saldırganlar arka kapılar oluşturarak ve kodu gizleyerek erişimlerinin uzun ömürlü olmasını sağlarlar” dedi. “Saldırganlar, tespitten kaçınmak ve erişimi sürdürmek için güvenlik açığı bulunan WP‑Otomatik dosyayı yeniden adlandırabilir, bu da web sitesi sahiplerinin veya güvenlik araçlarının sorunu tanımlamasını veya engellemesini zorlaştırabilir.”
Söz konusu dosya “/wp‑content/plugins/wp‑automatic/inc/csv.php” olup, “wp‑content/plugins/wp‑automatic/inc/csv65f82ab408b3.php” gibi bir şekilde yeniden adlandırılmıştır.
Bununla birlikte, tehdit aktörlerinin bunu diğer saldırganların zaten kontrolleri altında olan siteleri istismar etmesini engellemek amacıyla yapıyor olması da mümkündür.
CVE-2024-27956 (önceki değeri) kamuya açıklandı 13 Mart 2024’te WordPress güvenlik firması Patchstack tarafından. O zamandan bu yana, açığı silah haline getirmeye yönelik 5,5 milyondan fazla saldırı girişimi ortalıkta tespit edildi.
Açıklama, Icegram Express’in E-posta Aboneleri gibi eklentilerde ciddi hataların açıklanmasının ardından geldi (CVE-2024-2876CVSS puanı: 9,8), Biçimlendirici (CVE-2024-28890CVSS puanı: 9,8) ve Kullanıcı Kaydı (CVE-2024-2417CVSS puanı: 8,8), veritabanından şifre karmaları gibi hassas verileri çıkarmak, rastgele dosyalar yüklemek ve kimlik doğrulayıcı kullanıcıya yönetici ayrıcalıkları vermek için kullanılabilir.
Patchstack’ta ayrıca uyardı Poll Maker eklentisinde (CVE-2024-32514, CVSS puanı: 9,9), abone düzeyi ve üzeri erişime sahip kimliği doğrulanmış saldırganların, etkilenen sitenin sunucusuna rastgele dosyalar yüklemesine ve uzaktan kod yürütülmesine olanak sağlayan yamalanmamış bir sorun .