Sneeit Framework Eklentisindeki Güvenlik Açığı
WordPress kullanıcıları için kritiklik taşıyan bir güvenlik açığı, Sneeit Framework eklentisinde tespit edildi ve aktif olarak istismar edilmeye başlandı. Bu uzaktan kod yürütme güvenlik açığı, CVE-2025-6389 olarak adlandırılıyor ve 8.3 sürümünden önceki tüm sürümleri etkiliyor. 5 Ağustos 2025 tarihinde bu açığın kapatıldığı 8.4 sürümü yayınlandı. Eklentinin şu an 1,700’ün üzerinde aktif kurulumu bulunuyor.
Wordfence tarafından yapılan açıklamaya göre, sneeit_articles_pagination_callback() fonksiyonu kullanıcı girişlerini kabul edip bunları call_user_func() fonksiyonu aracılığıyla işleme alıyor. Bu durum, yetkisiz saldırganların sunucuda kod çalıştırmasına olanak tanıyor. Saldırganlar, geri kapılar yerleştirmek veya yeni yönetici kullanıcıları oluşturmak gibi işlemler yapabiliyor.
İstismar Yöntemleri
Bu açığın istismarı, verilen HTTP istekleriyle gerçekleştiriliyor. Saldırganlar, /wp-admin/admin-ajax.php endpoint’ine özel olarak hazırlanmış HTTP istekleri göndererek, “arudikadis” gibi hatalı bir yönetici kullanıcı hesabı oluşturuyor ve bu hesap üzerinden tijtewmg.php adındaki kötü amaçlı PHP dosyasını yüklüyor. Aktif saldırıların kaynağı, çeşitli IP adreslerinden gerçekleştiriliyor:
- 185.125.50[.]59
- 182.8.226[.]51
- 89.187.175[.]80
- 194.104.147[.]192
- 196.251.100[.]39
- 114.10.116[.]226
- 116.234.108[.]143
Saldırılar sonucunda tespit edilen kötü amaçlı PHP dosyaları, dizin tarama, dosya okuma, düzenleme ve silme gibi işlemleri gerçekleştirebiliyor.
ICTBroadcast Açığı ve Frost Botnet Saldırıları
Diğer yandan, VulnCheck, ICTBroadcast sisteminde bir açığın istismar edildiğini doğruladı. CVE-2025-2611 olarak adlandırılan bu açık, DDoS saldırılarına zemin hazırlamak için kullanılıyor. Saldırılar, konkav script aşaması içeren ve çoklu mimari versiyonlarını indiren bir süreçle ilerliyor.
Frost botnetinin amacı, hedeflenen sistemlere karşı dağıtılmış hizmet red saldırıları (DDoS) düzenlemek. Saldırılar, IP adresi 87.121.84[.]52 üzerinden gerçekleştiriliyor. Bu bot, yalnızca belirli sistemlerdeki güvenlik açıklarını kontrol ederek açılacak saldırıları yönetiyor. Saldırının operasyonu, CVE-2025-1610 açığını istismar edecekse, hedef sistemden alınacak cevaplara bağlı. Örneğin, “Set-Cookie: user=(null)” cevabını aldıktan sonra, eğer “Set-Cookie: user=admin” yanıtı gelirse saldırılara devam ediyor.
Sonuç olarak, bu tür güvenlik açıklarının derhal kapatılması ve WordPress eklentilerinin güncel tutulması büyük önem taşıyor. Saldırılar sadece bireysel kullanıcıları tehdit etmekle kalmayıp, geniş ölçekli sistemlerin de güvenliğini tehlikeye atabilir. Güncel kalmak ve gerekli güvenlik yamalarını zamanında uygulamak, siber saldırılara karşı en etkili savunmadır.
