WordPress platformunu kullanan binlerce internet sitesi, eski sürümlerdeki güvenlik açıkları nedeniyle siber saldırıların hedefi hâline geldi. Güvenlik firması Wordfence, GutenKit ve Hunk Companion eklentilerinde tespit edilen kritik zafiyetlerin saldırganlar tarafından yaygın şekilde istismar edildiğini duyurdu.
Güvenlik Açıkları Uzaktan Kod Çalıştırmaya Yol Açtı
Siber güvenlik araştırmacıları, saldırganların eski GutenKit ve Hunk Companion sürümlerinde bulunan üç kritik güvenlik açığından yararlandığını açıkladı. CVE-2024-9234, CVE-2024-9707 ve CVE-2024-11972 kodlarıyla izlenen bu açıkların her biri 9.8 CVSS puanına sahip.
GutenKit eklentisindeki zafiyet, kimliği doğrulanmamış kullanıcıların uzaktan eklenti yüklemesine izin veriyor. Hunk Companion eklentisindeki diğer iki açık ise yetkilendirme eksikliğinden kaynaklanıyor. Bu durum saldırganların siteye zararlı eklentiler yüklemesine neden oluyor.
GutenKit 2.1.0 ve önceki sürümler ile Hunk Companion 1.8.5 ve altındaki versiyonlar risk altında bulunuyor. Söz konusu açıklar geçen yıl giderilse de birçok site hâlâ eski sürümleri kullanmaya devam ediyor. Wordfence, sadece 8 ve 9 Ekim tarihlerinde 8.7 milyon saldırı girişimini engellediğini açıkladı.
Engellenen saldırı sayısı
Wordfence araştırmacıları, saldırganların GitHub üzerinde “up.zip” isimli bir dosya barındırdığını tespit etti. Bu dosyanın içinde gizlenmiş kötü amaçlı komut dosyaları yer alıyor. Söz konusu dosyalar, saldırganların yönetici olarak siteye giriş yapmasına ve sistemde kalıcı erişim sağlamasına neden oluyor.
Saldırganlar bu yöntemle sistemdeki dosyaları yükleyip silebiliyor, yetkileri değiştirebiliyor ve gizli verileri toplayabiliyor. Bazı durumlarda ise “wp-query-console” adlı savunmasız eklentiyi yükleyerek kimliği doğrulanmamış uzaktan kod çalıştırma saldırısı gerçekleştiriyor.
Wordfence, saldırılarda kullanılan IP adreslerini paylaştı ve site yöneticilerinden sistem erişim kayıtlarını kontrol etmelerini istedi. Güvenlik araştırmacıları ayrıca “/wp-json/gutenkit/v1/install-active-plugin” ve “/wp-json/hc/v1/themehunk-import” isteklerinin yer aldığı log kayıtlarının olası ihlallere işaret edebileceğini belirtti.
Uzmanlar, yöneticilerin “/up”, “/background-image-cropper”, “/ultra-seo-processor-wp”, “/oke” ve “/wp-query-console” dizinlerini de şüpheli içerikler açısından kontrol etmesi gerektiğini söyledi.
Siber güvenlik uzmanları, yöneticilerin tüm eklentilerini geliştiricilerin yayınladığı en güncel sürümlere yükseltmesini öneriyor. Güncellenmeyen eklentiler, saldırganlara açık kapı bırakıyor ve web sitelerinin tamamen ele geçirilmesine yol açabiliyor.
