Bilgisayar Korsanları Web Sitelerine Saldırmak İçin Etkin Olarak Savunmasız WordPress Eklentilerini Kullanıyor

Gittikçe daha fazla bilgisayar korsanı, son zamanlarda WordPress eklentileri saldırısında bulunan en son güvenlik açıklarını kullanıyor. Siber suçlular, eklentilerini güncelleyemeyen ve hala savunmasız sürümlerin eski sürümlerini kullanan web sitesi sahiplerini hedef alıyor.

Birkaç hacker grubu bunu yapıyor. Şimdilik güvenlik uzmanları, Profile Builder, ThemeGrill Demo Importer ve Duplicator eklentilerinin yama uygulanmamış sürümlerine saldıran en az iki grup tanıyor.

Bunlar, çok sayıda web sitesine yüklenen oldukça popüler eklentilerdir. Sahipleri bu üç eklentiyi güncellemediği için suistimal edilme riskiyle karşı karşıya olan yüz binlerce web sitesi olduğu tahmin edilmektedir.

Yukarıda belirtilen eklentilerin tümü ortak bir şeyi paylaşır. Güvenlik araştırmacıları, yakın zamanda, bu eklentilerde bulunan ve web sitesi güvenliğinin ihlal edilmesine yol açabilecek kritik güvenlik hataları hakkında raporlar paylaştılar.

Güvenlik uzmanlarının Tonyredball olarak adlandırdığı rakiplerden biri, aşağıdakilerin savunmasız bir sürümüne sahip WP web sitelerine erişim sağlar:

ThemeGrill Demo Importer (sürüm 1.6.3'ün altında) Kusur, herhangi bir kullanıcının bir yönetici gibi oturum açmasına ve tüm veritabanını silmesine olanak tanır.

Profil Oluşturucu (sürüm 3.1.1'in altında) Hata, kimliği doğrulanmamış kullanıcıların da yönetici ayrıcalıkları almasına izin verir.

Tonyredball grubu
Defiant'tan güvenlik uzmanları, Tonyredball grubunun, yeni yönetici hesabının e-postasını ve kullanıcı adını içeren web isteklerini kullanarak Profile Builder eklentisindeki yönetici kayıt hatasından yararlandığına dikkat çekiyor.

Aynı zamanda uzmanlar, bu hacker grubunun ThemeGrill Demo Importer eklentisinde bulunan veritabanı silme hatasını kullanan birçok başka saldırıya giriştiğine inanıyor.

ThemeGrill Demo Importer'ın kitlesel olarak sömürülmesinin nedeni, muhtemelen bunu yapmanın kolaylığıdır. Yalnızca saldırganların, WordPress eklentileri aracılığıyla savunmasız bir site saldırısına istek göndermesini gerektirir. Profil Oluşturucu durumunda, saldırganların önce savunmasız formu bulmaları gerektiğinden daha ciddi çaba göstermeleri gerekir.

Her iki güvenlik açığından yararlanmanın nihai sonucu, yönetici ayrıcalıkları ve kurbanın web sitesine erişim yeteneği elde etmektir. Tema ve eklenti yükleyicilerinin yardımıyla erişim sağlandığında, bilgisayar korsanları kötü amaçlı komut dosyalarını WordPress panosuna yükler.

Tehdit aktörleri, wp-block-plugin.php,blockspluginn.php, supersociall.php ve wp-block-plugin.php gibi dosya adlarıyla ilişkili birden çok komut dosyası türünü kullanır.

İlk istismardan sonra saldırganlar, daha fazla dosyaya bulaşmayı ve sitede daha geniş bir varlık elde etmeyi amaçlayan ek yükler sunar. Ayrıca araştırmacılar, kötü amaçlı yazılım yazarlarının aynı istismar yöntemine karşı savunmasız olan diğer WP sitelerini aramaya başladığını gözlemledi.

Çoğu durumda, saldırganlar yasal JavaScript dosyalarına kötü niyetli kod enjekte eder. Bu hareketin amacı, ziyaretçileri siber suçlular tarafından kontrol edilen kötü amaçlı web sitelerine yönlendirecek farklı bir sunucudan bir komut dosyası daha yüklemektir.

Şu anda, bu yönlendirmeyi fark etmek kolay ve karmaşık değil, ancak kötü niyetli kişiler senaryolarını çok daha sinsi olacak şekilde değiştirebilirler.

Bir durumda, ziyaretçiler, bot değil gerçek insanlar olduklarını kanıtlamak için tarayıcı bildirimi açılır penceresinde İzin Ver'e basmayı talep eden Talktofranky adlı bir web sitesine yönlendirildi. Ziyaretçiler bunu yaparsa, sitenin spam dahil olmak üzere çeşitli bildirimler göndermesine izin verdiler.

Bu küçük bir tehdit gibi görünebilir, ancak hacklenmesi kolay olmayan Mac cihazlarının sahipleri genellikle bu tür hilelerin kurbanı olur. Örneğin, kullanıcılar kendilerini A.akamaihd.net gibi dolandırıcı sitelere yönlendirilmiş buldular.

Güvenlik araştırmacıları, bu duruma adanmış çevrimiçi forumlardan birinde, epeyce kurban olduğunu öne süren bir tartışma buldu.

İlginç olan, Tonyredball grubunun tüm saldırıları tek bir IP -45.129.96.17'den kaynaklanmaktadır. Estonya'da bulunur ve GMHost adlı yerel barındırma sağlayıcısına tahsis edilmiştir. Bu sağlayıcı, birçok siber suçluyu orada barındırmaya çeken zayıf politikalarıyla tanınır. Bu sağlayıcı sadece şikayetlere tepki vermiyor.

Güvenlik açığı bulunan eklentiler nedeniyle kaç WordPress web sitesine ulaşılabileceği çok açık değil. Araştırmacılar, Profile Builder eklentisinin yaklaşık 37k siteye ve ThemeGrill Demo Importer'ın yaklaşık 40k siteye yüklenebileceğini tahmin ediyor.

Solarsalvador1234 grup
Daha karmaşık görünen bir grubun daha adı Solarsalvador1234. Defiant'tan araştırmacılar, istismara yol açan web taleplerinde sıklıkla kullanılan bir e-posta adresinin adı olduğu için böyle adlandırdı.

Bu tehdit aktörü aynı zamanda yukarıda bahsedilen iki eklentiyi de hedefler ancak bunlara ek olarak Solarsalvador1234 grubunun listesinde Duplicator eklentisi bulunur. Bu WordPress eklentisi, bir web sitesini bir yerden diğerine kopyalamaya ve taşımaya yardımcı olur. Bir milyondan fazla aktif kurulumu var!

1.3.28'den daha düşük olan Duplicator sürümlerinin, kimliği doğrulanmamış ziyaretçilerin hedeflenen web sitelerinden farklı dosyalar indirmesine izin veren bir güvenlik açığına sahip olduğu bildirilmektedir.

Bu hata genellikle kurban sitenin yapılandırma dosyasını almak için kullanılır – veritabanına erişmek için kullanıcı kimlik bilgilerini depolayan wp-config.php. Temel amaç, güvenliği ihlal edilmiş web sitesinde genişletilmiş ve uzun vadeli giriş olanakları elde etmektir.

Böylece, günün sonunda bu üç güvenlik açığından yararlanan saldırganlar, kurban web sitelerine tam yönetimsel erişim elde eder. Bu güvenlik açıklarının zaten kamuya açıklandığını ve yamalandığını hatırlatmak önemlidir.

Saldırı durumunda, web sitesi sahipleri en iyi güvenlik uygulamalarını takip etmemek ve saldırı WordPress eklentilerini zamanında güncellememek için kendilerini suçlamalıdır. Son istatistiklere dayanarak, güvenlik araştırmacıları yaklaşık 800 bin web sitesinin hala Duplicator'ın yamasız bir sürümünü çalıştırdığına inanıyor.

Yukarıda bahsedilen üç güvenlik açığı bulunan eklentinin yalnızca istismar edilenler olmadığına inanmak için birçok neden var.

Yine, web sitesi sahipleri, herhangi bir güvenlik güncellemesi yayınlandıktan sonra, giderek daha fazla bilgisayar korsanı WordPress web sitelerine saldırarak, tüm yeni ve eski güvenlik kusurlarını hızla bulup bunlardan yararlanırken, önceliği bu güncellemeyi yüklemek olmalıdır.