WordPress Eklentisi UpdraftPlus Hatası Yedeklemeleri Tehdit Ediyor
Bir WordPress eklentisindeki (UpdraftPlus) bir gözetim, PII ve kimlik doğrulama verilerini kötü niyetli kişilere ifşa ediyor.
WordPress eklentisi "UpdraftPlus", hassas yedeklemeleri risk altında bırakan ve potansiyel olarak kişisel bilgileri ve kimlik doğrulama verilerini açığa çıkaran bir güvenlik açığını düzeltmek için Çarşamba günü yamalandı.
UpdraftPlus, WordPress dosyaları, veritabanları, eklentiler ve temalar için yedekler oluşturmaya, geri yüklemeye ve taşımaya yönelik bir araçtır. Web sitesine göre UpdraftPlus, Microsoft, Cisco ve NASA gibi kuruluşlar da dahil olmak üzere üç milyondan fazla WordPress web sitesi tarafından kullanılıyor.
Bug
Pazartesi günü, WordPress'in ana şirketi Automattic Inc.'de güvenlik mühendisi olan Marc-Alexandre Montpas, o zamandan beri CVE 2022-0633 olarak etiketlenen " ciddi bir güvenlik açığını " ayrıntılandıran bir güvenlik kusuru raporu sundu. Kusurun önem derecesi 8.5'te Yüksek olarak listelenmiştir.
UpdraftPlus tarafından Çarşamba günü yayınlanan bir güvenlik bültenine göre , sıfır gün, "UpdraftPlus etkin olan bir WordPress kurulumunda oturum açmış herhangi bir kullanıcının mevcut bir yedeği indirme ayrıcalığını kullanmasına izin verdi, bu ayrıcalık yalnızca yönetici kullanıcılarla sınırlı olması gerekirdi.”
Yedeklemeler, genellikle her türlü kullanıcı verisini, finansal verileri, veritabanı yapılandırmalarını – gerçekten, her şeyi ve değerli her şeyi içerdiğinden, bir BT ortamındaki en hassas varlıklar arasındadır.
Bu verilerin bir kısmı daha sonra daha da gelişmiş saldırılar için kullanılabilir.
Netenrich'in baş tehdit avcısı John Bambinek Perşembe günü Threatpost'a verdiği demeçte, "Yedeklere ve veritabanına erişim muhtemelen ilk olarak kimlik bilgisi hırsızlığı için kullanılacak" dedi, "ancak saldırganların bu bilgilerden faydalanması için birçok olasılık var."
Bu durumdaki temel kusur, UpdraftPlus'ın kimin yedekleme istediğini doğrulama mekanizmasıydı. Wordfence'deki WordPress güvenlik analistleri tarafından belirtildiği gibi, saldırı WordPress kalp atışı işleviyle başlar.
Perşembe günkü yazımda, "Saldırganın data[updraftplus] parametresini içeren özel olarak hazırlanmış bir kalp atışı isteği göndermesi gerekiyor" dediler. "Saldırgan, uygun alt parametreleri sağlayarak, daha sonra bir yedekleme indirmek için kullanabilecekleri bir yedek nonce ve zaman damgası içeren bir yedekleme günlüğü elde edebilir."
En önemlisi, saldırganın savunmasız kalp atışı işlevinden yararlanmak için hedef siteye zaten erişmesi gerekir. Bu, web sitelerinin riskini yalnızca içeriden gelen tehditlere indirger.
UpdraftPlus'ın popülaritesi, bu saldırının basitliği ile birleştiğinde güçlü bir kombinasyon.
Ve Viakoo CEO'su Bud Broomhead'in Perşembe günü Threatpost'a e-posta yoluyla belirttiği gibi, "Bir güvenlik açığı bulmak ile güvenlik düzeltmesini uygulamak arasında her zaman bir gecikme vardır. Bu, tüm kullanıcıların (ücretli olsun ya da olmasın) bunun gibi yüksek önemdeki güvenlik açıkları için güvenlik yamaları almasını sağlamak için bir durumdur.”
Çok Daha Geniş Bir Trendin Parçası
CVE 2022-0633 pek benzersiz değil. WordPress eklentilerindeki güvenlik kusurları, son aylarda web güvenliğinin en kritik noktası haline geldi.
Ocak ayında, WP HTML Mail eklentisindeki bir siteler arası komut dosyası oluşturma hatası 20.000'den fazla siteyi açığa çıkardı ve birleşik 84 bin siteye hizmet veren üç farklı eklentide CVE 2022-0633'e benzer bir kimlik doğrulama güvenlik açığı keşfedildi. Yalnızca 18 Ocak'ta iki büyük güvenlik olayı patlak verdi: AdSanity eklentisinde keşfedilen 10 puanlık güvenlik açığından 9,9'u ve AccessPress Temalarına ait 40 tema ve 53 eklentiden oluşan koordineli bir tedarik zinciri uzlaşması.
WordPress güvenlik açıkları yeni bir şey değil, ancak 2021'de iki katından fazla arttı ve yakın zamanda yavaşlayacak gibi görünmüyorlar.
Broomhead'in belirttiği gibi, “yaygın olarak kullanılan eklentiler veya bileşenlerdeki (örneğin Log4j'ye benzer veya son zamanlardaki açık kaynak güvenlik açıkları) açıklar sert bir gerçekliğe sahiptir; Güvenlik açığının kendilerine karşı istismar edilmesini önlemek için önlem almak her son kullanıcının sorumluluğundadır.”
Çarşamba günü, UpdraftPlus 1.22.3 (ücretsiz) ve 2.22.3 (ücretli) yamalı sürümlerini yayınladı. Güvenlik açığı bulunan WordPress web sitelerinin yöneticileri mümkün olan en kısa sürede güncelleme yapmalıdır.
Kaynak: https://threatpost.com/severe-wordpress-plug-in-updraftplus-bug-threatens-backups/178528/
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
