Yazılım tedarik zinciri saldırısının bir başka örneğinde, bir geliştiricinin web sitesinde barındırılan düzinelerce WordPress teması ve eklentisi, daha fazla siteye bulaşmak amacıyla Eylül 2021’in ilk yarısında kötü amaçlı kodlarla arka kapıya kapatıldı.
Arka kapı, saldırganlara 360.000’den az aktif web sitesi kurulumuna sahip Nepal merkezli bir şirket olan AccessPress Themes’e ait 40 tema ve 53 eklenti kullanan web siteleri üzerinde tam yönetimsel kontrol sağladı.
Bir WordPress eklenti paketi geliştiricisi olan JetPack’ten güvenlik araştırmacıları, “Enfekte uzantılar, saldırganlara virüslü sitelere tam erişim sağlayan bir web kabuğu için bir damlalık içeriyordu” dedi. bildiri bu hafta yayınlandı. “Aynı uzantılar, doğrudan WordPress’ten indirildiyse veya yüklendiyse iyiydi.[.]org dizini.”
Güvenlik açığına tanımlayıcı atandı CVE-2021-24867. Web sitesi güvenlik platformu Sucuri, ayrı bir analizde, söz konusu Bu arka kapıyı kullandığı tespit edilen virüslü web sitelerinden bazılarının neredeyse üç yıl öncesine ait spam yükleri vardı, bu da operasyonun arkasındaki aktörlerin sitelere erişimi diğer spam kampanyalarının operatörlerine sattığını ima ediyor.
Bu ayın başlarında, siber güvenlik firması eSentire, meşru işletmelere ait güvenliği ihlal edilmiş WordPress web sitelerinin kötü amaçlı yazılım dağıtımı için bir yuva olarak nasıl kullanıldığını ve Google gibi arama motorlarında GootLoader adlı bir implantla evlilik sonrası veya fikri mülkiyet sözleşmeleri arayan şüpheli kullanıcılara hizmet ettiğini açıkladı.
Eklentileri doğrudan AccessPress Themes’in web sitesinden yükleyen site sahiplerinin, hemen güvenli bir sürüme yükseltme yapmaları veya bunu WordPress’in en son sürümüyle değiştirmeleri önerilir.[.]org. Ek olarak, arka kapının kurulumu sırasında yapılan değişiklikleri geri almak için temiz bir WordPress sürümünün dağıtılmasını gerektirir.
Bulgular ayrıca WordPress güvenlik şirketi Wordfence’in “WordPress E-posta Şablonu Tasarımcısı -” adlı bir eklentiyi etkileyen şimdi yamalı siteler arası komut dosyası çalıştırma (XSS) güvenlik açığının ayrıntılarını açıklamasıyla geldi. WP HTML Postası” 20.000’den fazla web sitesinde yüklü.
CVE-2022-0218 olarak izlenen hata, CVSS güvenlik açığı puanlama sisteminde 8.3 olarak derecelendirildi ve 13 Ocak 2022’de (sürüm 3.1) yayınlanan güncellemelerin bir parçası olarak ele alındı.
Chloe Chamberland, “Bu kusur, kimliği doğrulanmamış bir saldırganın, bir site yöneticisi şablon düzenleyiciye her eriştiğinde çalışacak olan kötü amaçlı JavaScript’i enjekte etmesini mümkün kıldı.” söz konusu. “Bu güvenlik açığı, e-posta şablonunu, güvenliği ihlal edilmiş siteden e-posta alan herkese karşı bir kimlik avı saldırısı gerçekleştirmek için kullanılabilecek rastgele verileri içerecek şekilde değiştirmelerine de olanak tanır.”
Buna göre İstatistik Risk Tabanlı Güvenlik tarafından bu ay yayınlanan, 2021’in sonuna doğru üçüncü taraf WordPress eklentilerinde yaklaşık 1.000 güvenlik açığının açıklandığı 2020’ye göre %142 artışla 2.240 güvenlik açığı keşfedildi ve rapor edildi. Bugüne kadar toplam 10.359 WordPress eklenti güvenlik açığı ortaya çıkarıldı.
