WordPress, WooCommerce Eklentisinde Güvenlik Açığı Çıktı
Bilgisayar korsanları, savunmasız WordPress kurulumunda yöneticiler de dahil olmak üzere herhangi bir kullanıcının ayrıcalıklarını kazanmak için kritik bir WooCommerce Ödeme eklentisinin yaygın olarak kullanılmasını sağlıyor.
WooCommerce Payments, web sitelerinin WooCommerce mağazalarında ödeme olarak kredi ve banka kartlarını kabul etmelerini sağlayan çok popüler bir WordPress eklentisidir. WordPress’e göre, eklenti 600.000’den fazla aktif kurulumda kullanılıyor.
23 Mart 2023’te geliştiriciler, CVE-2023-28121 olarak izlenen 9.8 puan alan kritik güvenlik açığını gidermek için 5.6.2 sürümünü yayımladı. Kusur, WooCommerce Ödeme eklentisi sürüm 4.8.0 ve üstünü etkiler ve sürümlerde düzeltilir 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2, ve sonra.
WooCommerce Eklentisinde Güvenlik Açığı, uzaktaki herhangi bir kullanıcının bir yöneticinin kimliğine bürünmesine ve bir WordPress sitesi üzerinde tam kontrol sahibi olmasına izin verdiğinden, Automattic force eklentiyi kullanarak WordPress kurulumlarının güvenlik düzeltmesini yükledi.
O sırada WooCommerce, güvenlik açığının bilinen bir aktif istismarı olmadığını söyledi, ancak araştırmacılar, hatanın kritik doğası nedeniyle gelecekte sömürüyü göreceğimiz konusunda uyardılar.
Kusur aktif olarak istismar edildi
Bu ay, RİCE Security’deki araştırmacılar hatayı analiz ettiler ve CVE-2023-28121 güvenlik açığı ve nasıl kullanılabileceği hakkında teknik bir blog yayınladılar.
Araştırmacılar, saldırganların basitçe bir ‘X-WCPAY-PLATFORM-CHECKOUT-USER’ istek başlığı ekleyebileceğini ve bunu taklit etmek istedikleri hesabın kullanıcı kimliğine ayarlayabileceğini açıklıyor.
WooCommerce Payments bu başlığı gördüğünde, isteği, kullanıcının tüm ayrıcalıkları dahil olmak üzere belirtilen kullanıcı kimliğindenmiş gibi ele alır.
Blog gönderisinin bir parçası olarak, RCE Security, savunmasız WordPress sitelerinde yeni bir yönetici kullanıcısı oluşturmak için bu kusuru kullanan ve tehdit aktörlerinin site üzerinde tam kontrol sahibi olmasını kolaylaştıran bir kavram kanıtı istismarı yayınladı.
Bugün, WordPress güvenlik firması Wordfence, tehdit aktörlerinin Cumartesi gününe kadar 157.000’den fazla siteyi hedefleyen büyük bir kampanyada bu güvenlik açığından yararlandığı konusunda uyardı.
Wordfence, “CVE-2023-28121 olarak atanan güvenlik açığına yönelik büyük çaplı saldırılar, 14 Temmuz 2023 Perşembe günü başladı ve hafta sonu boyunca devam ederek 16 Temmuz 2023 Cumartesi günü 157.000 siteye yönelik 1,3 milyon saldırıya ulaştı” diye açıklıyor.
Wordfence, tehdit aktörlerinin istismarı WP Console eklentisini yüklemek veya hedeflenen cihaza yönetici hesapları oluşturmak için kullandığını söylüyor.
WP Console’un kurulu olduğu sistemler için, tehdit aktörleri eklentiyi, güvenlik açığı giderildikten sonra bile arka kapı olarak kullanılabilecek bir dosya yükleyiciyi sunucuya yükleyen PHP kodunu yürütmek için kullandılar.
Wordfence, diğer saldırganların istismarı rastgele şifrelerle yönetici hesapları oluşturmak için kullandığını gördüklerini söylüyor.
Savunmasız WordPress sitelerini taramak için tehdit aktörleri ‘/wp-content /plugins / woocommerce-payments / readme’ye erişmeye çalışır.txt dosyası ve eğer varsa, kusurdan yararlanırlar.
İlginizi çekebilecek yazımız: İspanyol Polisi, Dünyaca Aranan Ukraynalı Hacker’ı Yakaladı
Araştırmacılar, bu saldırılardan sorumlu yedi IP adresini paylaştılar ve IP adresi 194.169.175.93, 213.212 siteyi taradı.
BleepingComputer, 12 Temmuz’dan itibaren erişim kayıtlarımızda da benzer bir etkinlik gördü.
CVE-2023-28121’in kullanılabilme kolaylığı nedeniyle, WooCommerce Ödeme eklentisini kullanan tüm sitelerin kurulumlarının güncel olmasını sağlamaları önemle tavsiye edilir.
Kurulumunuzu yakın zamanda güncellemediyseniz, site yöneticilerinin sitelerini olağandışı PHP dosyaları ve şüpheli yönetici hesapları için taramaları ve bulunanları silmeleri de önerilir.
Haber Kaynağı: Bleeping Computer