Buggy WordPress eklentisi, sitenin tamamen ele geçirilmesine izin verir • Kayıt


Kötü niyetli kişilerin, daha önce ifşa edilmiş bir buggy WordPress eklentisinde rastgele bir dosya yükleme güvenlik açığından yararlanma girişimlerinde yaklaşık 1,6 milyon web sitesini taradığı bildiriliyor.

Güvenlik açığı hedefleri CVE-2021-24284 olarak izlendi Kaswara Modern WPBakery Sayfa Oluşturucu Eklentileri ve eğer istismar edilirse, suçluların kötü niyetli JavaScript dosyaları yüklemesine ve hatta bir organizasyonun web sitesini tamamen ele geçirmesine izin verecekti.

kelime çiti ifşa kusur neredeyse üç ay önce ve bu hafta yeni bir danışma belgesinde uyardı WordPress güvenlik mağazası, müşterilerinin sitelerinde günde ortalama 443.868 saldırı girişimini engellediğini iddia ediyor.

Yazılım geliştiricileri hiçbir zaman hatayı düzeltmedi ve eklenti artık kapandı, bu da tüm sürümlerin bir saldırıya açık olduğu anlamına geliyor. Hata avcıları, 4.000 ila 8.000 web sitesinde hala güvenlik açığı bulunan eklentinin yüklü olduğunu ve 1.599.852 benzersiz sitenin hedeflendiğini, ancak bunların çoğunun eklentiyi çalıştırmadığını belirtti.

Ancak, hala çalışan araba eklentisi kampına düşerseniz, şimdi fişi çekmenin tam zamanı.

Ayrıca, doğrudan etkilenmeseniz bile, bu savunmasız web sitelerinden herhangi birinin güvenliği ihlal edilebilir ve kimlik avı veya kötü amaçlı yazılım barındırma gibi diğer saldırılarda rol oynayacak şekilde değiştirilebilir. Bu, bir bakıma, küçük eklentilerin bile internette daha geniş siber suçları nasıl körükleyebileceğini gösteriyor.

Wordfence, “Kaswara Modern WPBakery Sayfa Oluşturucu Eklentilerini mümkün olan en kısa sürede tamamen kaldırmanızı ve eklentinin bu kritik güvenlik açığı için bir yama alma olasılığı düşük olduğundan bir alternatif bulmanızı şiddetle tavsiye ediyoruz.”

Güvenlik sağlayıcısı, saldırıların çoğunun /wp-admin/admin-ajax.php’ye eklentinin uploadFontIcon AJAX eylemi kullanılarak gönderilen ve kötü niyetli kişilerin kurbanın web sitesine kötü amaçlı bir dosya yüklemesine izin veren bir POST isteği ile başladığını söyledi. Wordfence’in açıklaması:

Günlükleriniz bu olaylarda aşağıdaki sorgu dizesini gösterebilir:

Tehdit istihbarat ekibi ayrıca, istismar girişimlerinin çoğunun bu 10 IP’den geldiğini de kaydetti:

  • 217.160.48.108 ile 1.591.765 istismar girişimi engellendi
  • 898.248 istismar girişimi ile 5.9.9.29 engellendi
  • 2,58.149.35 ile 390.815 istismar girişimi engellendi
  • 276,006 istismar girişimi ile 20.94.76.10 engellendi
  • 20.206.76.37 ile 212.766 istismar girişimi engellendi
  • 20.219.35.125 ile 187.470 istismar girişimi engellendi
  • 20.223.152.221 ile 102.658 istismar girişimi engellendi
  • 5,39.15.163, 62.376 açıktan yararlanma girişimi engellendi
  • 194.87.84.195 ile 32.890 istismar girişimi engellendi
  • 194.87.84.193 ile 31.329 istismar girişimi engellendi

Saldırıların çoğu aynı zamanda a57bze8931.zip adlı bir zip dosyası yükleme girişimini de içeriyor ve bu dosya yüklendikten sonra suçlunun kurbanın web sitesine kötü yazılım yüklemelerini sürdürmesine izin veriyor.

Ek olarak, Wordfence’e göre bazı saldırılar NDSW truva atının işaretlerini de içeriyor. Bu, site ziyaretçilerini kötü amaçlı web sitelerine yönlendirir ve bu da, şimdi yamayı kaldırma zamanının geldiğinin bir kez daha hatırlatılmasıdır. ®



Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/07/15/buggy_wordpress_plugin/

Yorum yapın