Saldırganlar, tahmini 140,000 web sitesinin kurulumlarını yedeklemek için kullandığı bir WordPress eklentisi olan BackupBuddy'deki kritik bir güvenlik açığından aktif olarak yararlanıyor.
Güvenlik açığı, saldırganların, etkilenen web sitelerinden, yapılandırma bilgileri ve daha fazla güvenlik ihlali için kullanılabilecek parolalar gibi hassas veriler içerenler de dahil olmak üzere rastgele dosyaları okumasına ve indirmesine olanak tanır.
WordPress güvenlik sağlayıcısı Wordfence, 26 Ağustos'tan itibaren kusuru hedef alan saldırıların gözlemlendiğini bildirdi ve bunun 5 milyona yakın saldırıyı engelledi o zamandan beri. Eklentinin geliştiricisi iThemes, saldırıların başlamasından bir haftadan fazla bir süre sonra, 2 Eylül'de kusur için bir yama yayınladı. Bu, yazılımı kullanan en azından bazı WordPress sitelerinin, güvenlik açığına yönelik bir düzeltme bulunmadan önce tehlikeye atılmış olma olasılığını artırıyor.
Dizin Geçişi Hatası
Web sitesinde yer alan bir açıklamada iThemes, dizin geçiş güvenlik açığının çalışan web sitelerini etkilediğini açıkladı. BackupBuddy sürümleri 8.5.8.0'dan 8.7.4.1'e kadar. Eklentinin kullanıcılarını, şu anda eklentinin güvenlik açığı bulunan bir sürümünü kullanmıyor olsalar bile, derhal BackupBuddy 8.75 sürümüne güncellemeye çağırdı.
Eklenti yapımcısı, "Bu güvenlik açığı, bir saldırganın sunucunuzdaki WordPress kurulumunuz tarafından okunabilen herhangi bir dosyanın içeriğini görüntülemesine olanak tanıyabilir" diye uyardı.
iThemes'in uyarıları, site operatörlerinin web sitelerinin güvenliğinin ihlal edilip edilmediğini nasıl belirleyebilecekleri ve güvenliği yeniden sağlamak için atabilecekleri adımlar konusunda rehberlik sağladı. Bu önlemler arasında veritabanı şifresinin sıfırlanması, şifrelerinin değiştirilmesi yer alıyordu. WordPress tuzlarıve site yapılandırma dosyalarındaki API anahtarlarını ve diğer gizli dizileri döndürme.
Wordfence, saldırganların bu kusuru kullanarak "kurbanı daha da tehlikeye atmak için kullanılabilecek /wp-config.php ve /etc/passwd dosyası gibi hassas dosyaları" almaya çalıştıklarını gördüğünü söyledi.
WordPress Eklenti Güvenliği: Yaygın Bir Sorun
BackupBuddy kusuru, son yıllarda WordPress ortamlarında açıklanan ve neredeyse tamamı eklentileri içeren binlerce kusurdan yalnızca biridir.
Bu yılın başındaki bir raporda iThemes şunları tespit ettiğini söyledi: toplam 1,628 WordPress güvenlik açığı açıklandı 2021'de bunların %97'sinden fazlası eklentileri etkiledi. Neredeyse yarısı (%47.1) yüksek ila kritik şiddette olarak derecelendirildi. Ve rahatsız edici bir şekilde, Güvenlik açığı bulunan eklentilerin %23.2'sinin bilinen bir çözümü yoktu.
Dark Reading tarafından Ulusal Güvenlik Açığı Veritabanının (NVD) hızlı bir şekilde taranması, WordPress sitelerini etkileyen birkaç düzine güvenlik açığının yalnızca Eylül ayının ilk haftasında açıklandığını gösterdi.
WordPress sitelerinin tek sorunu savunmasız eklentiler değildir; kötü amaçlı eklentiler başka bir sorundur. Georgia Teknoloji Enstitüsü'ndeki araştırmacıların 400,000'den fazla web sitesini kapsayan geniş ölçekli bir araştırması, Şaşırtıcı 47,337 kötü amaçlı eklenti 24,931 web sitesine yüklendi ve çoğu hala aktif.
JupiterOne'un CISO'su Sounil Yu, WordPress ortamlarının doğasında bulunan risklerin, işlevselliği genişletmek için eklentilerden, entegrasyonlardan ve üçüncü taraf uygulamalardan yararlanan herhangi bir ortamda mevcut olanlarla aynı olduğunu söylüyor.
"Akıllı telefonlarda olduğu gibi, bu tür üçüncü taraf bileşenler çekirdek ürünün yeteneklerini genişletiyor, ancak aynı zamanda güvenlik ekipleri için de sorunlu çünkü bunlar çekirdek ürünün saldırı yüzeyini önemli ölçüde artırıyor" diye açıklıyor ve bu ürünleri incelemenin de zor olduğunu ekliyor çok sayıda olmaları ve net bir kökene sahip olmamaları nedeniyle.
Yu, "Güvenlik ekiplerinin ilkel yaklaşımları var ve çoğunlukla benim üç P dediğim şeye üstünkörü bir bakış atıyorlar: popülerlik, amaç ve izinler" diye belirtiyor Yu. "Apple ve Google tarafından yönetilen uygulama mağazalarına benzer şekilde, kötü amaçlı yazılımların (eklentilerin, entegrasyonların ve üçüncü taraf uygulamaların) müşterileri için sorun yaratmamasını sağlamak için pazaryerleri tarafından daha fazla inceleme yapılması gerekiyor" diye belirtiyor.
Diğer bir sorun ise bu sırada WordPress yaygın olarak kullanılıyorViakoo CEO'su Bud Broomhead, genellikle BT veya güvenlik uzmanları tarafından değil, pazarlama veya Web tasarımı uzmanları tarafından yönetildiğini söylüyor.
Broomhead, Dark Reading'e "Kurulumu kolay ve kaldırmak sonradan akla gelen bir fikir veya hiç yapılmadı" dedi. "Tıpkı saldırı yüzeyinin IoT/OT/ICS'ye kayması gibi, tehdit aktörleri de BT tarafından yönetilmeyen sistemleri, özellikle de WordPress gibi yaygın olarak kullanılan sistemleri hedefliyor."
Broomhead şunu ekliyor: "WordPress, eklentilerin güvenlik açığı olduğuna dair uyarılar yayınlasa bile, güvenlik dışındaki diğer öncelikler, kötü amaçlı eklentilerin kaldırılmasını geciktirebilir."
