Popüler WordPress eklentisinde bir güvenlik açığı açıklandı Elementor için Temel Eklentiler bu, etkilenen sitelerde yükseltilmiş ayrıcalıklar elde etmek için potansiyel olarak kullanılabilir.
CVE-2023-32243 olarak takip edilen sorun, 11 Mayıs 2023’te yayınlanan 5.7.2 sürümünde eklenti bakımcıları tarafından ele alındı. Essential Addons for Elementor, bir milyondan fazla aktif yüklemeye sahiptir.
Patchstack araştırmacısı Rafie Muhammad, “Bu eklenti, kimliği doğrulanmamış bir ayrıcalık yükseltme güvenlik açığından muzdariptir ve kimliği doğrulanmamış herhangi bir kullanıcının ayrıcalıklarını WordPress sitesindeki herhangi bir kullanıcınınkine yükseltmesine izin verir.” söz konusu.
Kusurun başarılı bir şekilde kullanılması, bir tehdit aktörünün, kötü niyetli taraf kullanıcı adını bildiği sürece herhangi bir kullanıcının şifresini sıfırlamasına izin verebilir. Eksikliğin 5.4.0 sürümünden beri var olduğuna inanılıyor.
Güvenlik açığı, bir yönetici hesabıyla ilişkili parolayı sıfırlamak ve web sitesinin tam kontrolünü ele geçirmek için silah haline getirilebileceğinden, bunun ciddi sonuçları olabilir.
Muhammed, “Bu güvenlik açığı, bu parola sıfırlama işlevinin bir parola sıfırlama anahtarını doğrulamaması ve bunun yerine verilen kullanıcının parolasını doğrudan değiştirmesi nedeniyle oluşur.”
Açıklama, Patchstack’in aynı eklentide güvenliği ihlal edilmiş web sitelerinde keyfi kod yürütmek için kötüye kullanılmış olabilecek başka bir ciddi kusuru ortaya çıkarmasından bir yıldan fazla bir süre sonra geldi.
Bulgular ayrıca, kötü şöhretli SocGholish (aka FakeUpdates) kötü amaçlı yazılımını enjekte etmeyi amaçlayan, Mart 2023’ün sonlarından bu yana WordPress sitelerini hedef alan yeni bir saldırı dalgasının keşfini takip ediyor.
Sosyetik bir kalıcı JavaScript kötü amaçlı yazılım çerçevesi ek kötü amaçlı yazılımların virüs bulaşmış ana bilgisayarlara teslimini kolaylaştırmak için bir ilk erişim sağlayıcısı olarak işlev görür. Kötü amaçlı yazılım, bir web tarayıcısı güncellemesi kılığına girerek arabadan indirmeler yoluyla dağıtıldı.
Sucuri tarafından tespit edilen en son kampanyanın, kötü amaçlı yazılımı gizlemek, ayak izini azaltmak ve tespit edilmekten kaçınmak için zlib adlı bir yazılım kitaplığı kullanan sıkıştırma tekniklerinden yararlandığı tespit edildi.
Sucuri araştırmacısı Denis Sinegubko, “Kötü aktörler, tespit edilmekten kaçınmak ve kötü amaçlı yazılım kampanyalarının ömrünü uzatmak için sürekli olarak taktiklerini, tekniklerini ve prosedürlerini geliştiriyorlar.” söz konusu.
“SocGholish kötü amaçlı yazılımı, saldırganların sahip olduğu gibi, bunun en önemli örneğidir. yaklaşımlarını değiştirdi geçmişte güvenliği ihlal edilmiş WordPress web sitelerine kötü amaçlı komut dosyaları enjekte etmek için.”
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Sadece SocGholish değil. Malwarebytes, bu hafta teknik bir raporda, yetişkinlere yönelik web sitelerinin ziyaretçilerine hizmet veren bir kötü amaçlı reklam kampanyasını ayrıntılı olarak açıkladı. popunder reklamları “in2al5d p3in4er” (aka Geçersiz Yazıcı) yükleyicisini bırakmak için sahte bir Windows güncellemesini simüle eden.
Malwarebytes tehdit istihbaratı direktörü Jérôme Segura, “Microsoft’tan beklediğinize çok benzeyen bir tam ekran animasyonu görüntülemek için web tarayıcısına dayandığından, şema çok iyi tasarlanmış,” dedi. söz konusu.
Geçen ay Morphisec tarafından belgelenen yükleyici, sistemin grafik kartını kontrol ederek sanal bir makinede mi yoksa sanal alan ortamında mı çalıştığını belirlemek ve sonunda Aurora bilgi hırsızı kötü amaçlı yazılımını başlatmak için tasarlandı.
Malwarebytes’e göre kampanya, son iki ayda 585 kurban talep etti ve tehdit aktörü aynı zamanda diğer teknik destek dolandırıcılıkları ve bir Amadey bot komuta ve kontrol paneliyle de bağlantılı.
