Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Hackerlar WordPress Eski Eklentilerini Kullanarak Arka Kapı Bırakıyor

Hackerlar WordPress Eski Eklentilerini Kullanarak Arka Kapı Bırakıyor

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 4 dk okuma süresi
246 0
hackerlar wordpress eski eklentilerini

En iyi içerik yönetim sistemi olan WordPress’i, hackerlar wordpress eski eklentilerini kullanarak hedef almaya başladı. 

Sucuri, geçen hafta yayınlanan bir raporda, siber hackerların devam eden bir saldırının parçası olarak gizlice arka kapı web sitelerine meşru ancak modası geçmiş bir WordPress eklentisinden yararlandığını açıkladı.

Söz konusu eklenti, flashpixx adlı bir geliştirici tarafından yayınlanan Eval php‘dir. Kullanıcıların, gönderiler bir web tarayıcısında her açıldığında yürütülen WordPress sitelerinin PHP kod sayfalarını ve gönderilerini eklemelerine olanak tanır.

Eval PHP 11 yıldır hiçbir güncelleme almamış olsa da, WordPress tarafından toplanan istatistikler, 8.000’den fazla web sitesine yüklendiğini ve indirme sayısının Eylül 2022’den bu yana ortalama bir veya ikiden 30 Mart 2023’te 6.988’e yükseldiğini gösteriyor.

Yalnızca 23 Nisan 2023’te 2.140 kez indirildi. Eklenti, son yedi gün içinde 23.110 indirme topladı.

GoDaddy’ye ait Sucuri, virüs bulaşmış bazı web sitelerinin veri tabanlarının, bir sitenin gönderilerini, sayfalarını ve gezinme menüsü bilgilerini depolayan “wp_posts” tablosuna kötü amaçlı kod enjekte ettiğini gözlemlediğini söyledi. Talepler, Rusya merkezli üç farklı IP adresinden kaynaklanmaktadır.

Güvenlik araştırmacısı Ben Martin, “Bu kod oldukça basit: Belirtilen uzaktan kod yürütme arka kapısına sahip web sitesinin docroot’unda bir PHP betiği oluşturmak için file_put_contents işlevini kullanıyor” dedi.

WordPress Plugin

“Söz konusu güvenlik açığı, geleneksel bir arka kapıyı dosya yapısına düşürse de, bir WordPress gönderisindeki meşru bir eklenti ve bir arka kapı bırakarak, web sitesini kolayca yeniden bağlamalarına ve gizli kalmalarına olanak tanır. Saldırganın yapması gereken tek şey, virüslü yayınlardan veya sayfalardan birini ziyaret etmektir ve arka kapı dosya yapısına enjekte edilecektir.”

Sucuri, son 6 ayda güvenliği ihlal edilen web sitelerinde bu arka kapının 6.000’den fazla örneğini tespit ettiğini ve kötü amaçlı yazılımı doğrudan veri tabanına ekleme modelini “yeni ve ilginç bir gelişme” olarak tanımladığını söyledi.”

İlginizi çekebilecek yazımız.

İlgili Yazı: Rus Hackerlar Tomiris Yazılımı ile Orta Asya’dan İstihbarat Topluyor

Saldırı zinciri, güvenliği ihlal edilen sitelere Eval PHP eklentisinin yüklenmesini ve bazen taslak olarak da kaydedilen birden çok gönderide kalıcı arka kapılar oluşturmak için kötüye kullanılmasını gerektirir.

Martin, “Eval PHP eklentisinin çalışma şekli, PHP kodunu [evalphp] kısa kodlarının içinde yürütmek için bir sayfayı taslak olarak kaydetmek yeterlidir,” diye açıkladı Martin, sahte sayfaların yazar olarak gerçek bir site yöneticisi ile oluşturulduğunu ekleyerek şunları önerdi:

hackerlar wordpress eski eklentilerini 2

Geliştirme, kötü niyetli hackerların, güvenliği ihlal edilmiş ortamlarda dayanaklarını korumak ve sunucu tarafı taramalarından ve dosya bütünlüğü izlemesinden kaçınmak için farklı yöntemleri nasıl denediklerine bir kez daha işaret ediyor. Bu yüzden hackerlar wordpress eski eklentilerini istismar etmeye devam ediyor. 

Site sahiplerinin, hackerların yönetici erişimi kazanmasını ve eklentiyi yüklemesini önlemek için WP Yönetici panosunu güvence altına almaları ve şüpheli girişlere dikkat etmeleri önerilir.

Haber Kaynağı: The Hacker News

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir