Gravity Forms Eklentisine Yönelik Güvenlik Sorunu
Son dönemlerde, WordPress kullanıcılarının en popüler eklentilerinden biri olan Gravity Forms, ciddi bir güvenlik açığı ile karşı karşıya kaldı. Bu sorun, resmi web sitesinden indirilen eklentilerin arka kapı ile enfekte olması şeklinde kendini gösteriyor. Gravity Forms, iletişim, ödeme ve diğer çevrimiçi formlar oluşturmak için kullanılan premium bir eklentidir. İstatistiklere göre, bu eklenti yaklaşık bir milyon web sitesinde kullanılmakta ve aralarında Airbnb, Nike, ESPN, Unicef, Google, ve Yale gibi tanınmış kuruluşlar yer almaktadır.
Uzaktan Kod Çalıştırma
WordPress güvenlik firması PatchStack, bugün itibarıyla Gravity Forms web sitesinden indirilen eklentiler üzerinden gelen şüpheli istekler hakkında bir rapor aldı. Eklentinin incelenmesinin ardından, PatchStack, resmi web sitesinden indirilen bir dosyada (gravityforms/common.php) kötü niyetli bir dosya tespit etti. Detaylı bir analiz sonrası, bu dosyanın “gravityapi.org/sites” adlı şüpheli bir domaine POST isteği gönderdiği belirlendi.
Araştırmacılar, bu eklentinin web sitesi üzerinde kapsamlı veri topladığını; URL, admin yolunu, tema, eklentiler ve PHP/WordPress sürümleri gibi bilgileri toplayıp saldırganlara ilettiğini keşfetti. Sunucu yanıtı, “wp-includes/bookmark-canonical.php” olarak kaydedilen base64 kodlamalı PHP kötü amaçlı yazılımını içeriyor.
Bu kötü amaçlı yazılım, uzaktan kod çalıştırma güvenlik açığını devreye sokarak, kullanıcıdan kimlik doğrulaması gerektirmeden “handle_posts()”, “handle_media()” ve “handle_widgets()” gibi fonksiyonları kullanabiliyor.
PatchStack, bu işlemenin kullanıcıların kimlik bilgilerini doğrulamadan tetiklenebildiğini vurguladı. Tüm fonksiyonlar, __construct -> init_content_management -> handle_requests -> process_request fonksiyonu üzerinden çağrılabiliyor.
Saldırganlar Yönetici Hesabı Ekliyor
RocketGenius, Gravity Forms’un geliştirici firması, sorunu doğrulayan bir açıklama yayınladı. Bu açıklama, 2.9.11.1 ve 2.9.12 sürümlerinin yalnızca 10 ve 11 Temmuz tarihlerinde manuel olarak indirildiğinde zarara uğradığını belirtti. Eğer yöneticiler bu iki tarihte composer ile 2.9.11 sürümünü kurduysa, enfekte bir kopya almışlardır.
RocketGenius, “Gravity API” hizmetinin, lisanslama, otomatik güncellemeler ve eklentilerin kurulumu gibi işlevlerinin asla compromised olmadığını belirtti. Bu hizmet aracılığıyla yönetilen tüm paket güncellemeleri etkilenmedi.
Kötü niyetli kod, güncelleme girişimlerini engellemeyi, harici sunucularla bağlantı kurarak ek yükler indirmeyi ve saldırganın web sitesinde tam kontrol sahibi olmasını sağlayacak bir yönetici hesabı eklemeyi başardı. Geliştirici firma, yöneticilerin web sitelerinde olası enfeksiyonları kontrol etmeleri için belirli bağlantılar izleyebileceklerinin altını çizdi.
Önlem ve Çözüm Önerileri
Eğer siz de Gravity Forms’un kullanıcılarından biriyseniz, bu durumda hemen harekete geçmeniz gerekiyor. PatchStack, 10 Temmuz’dan itibaren Gravity Forms indiren herkesin eklentiyi yeniden yüklemelerini ve temiz bir versiyon alarak kontrollerini sağlamalarını öneriyor. Yönetim panelindeki süreçlerinizi kontrol etmeli ve web sitenizde herhangi bir enfeksiyon belirtisi aramalısınız.
Saldırganların yürüttüğü bu tür operasyonlar, siber güvenlik alanındaki önemli bir tehdidi temsil ediyor. Kullanıcıların yalnızca web uygulamalarıyla sınırlı kalmayıp, tüm web sitelerini kapsamlı bir şekilde korumaları gerekmektedir.
Geliştiricilerin sağladığı güncellemeleri takip ederek, ilgili yamanın uygulanmasını sağlamak çok önemlidir. Web sitenizin güvenliğini sağlamak için güçlü bir şifre kullanmayı ve düzenli olarak yedek almayı da ihmal etmeyin. Ayrıca, sayfanızda gereksiz olan eklentileri kaldırarak, potansiyel güvenlik açıklarını minimize edebilirsiniz.
Artık daha fazla dikkatli olmalıyız. Çünkü siber saldırılar her geçen gün daha da yaygınlaşıyor. Bu nedenle, yazılım güncellemeleri ve siber güvenlik uygulamalarınıza azami özen göstermelisiniz.
