1 milyondan fazla kurulum içeren bir form oluşturucu eklentisi olan Ninja Forms kullanan WordPress siteleri, bu hafta vahşi doğada muhtemelen sömürülen kritik bir güvenlik açığı ele alan yeni bir yapıya toplu olarak zorlandı.
Güvenlik açığı, sürüm 3.0 ve üstü ile başlayarak birden fazla ninja form yayınını etkileyen bir kod enjeksiyon güvenlik açığıdır.
WordFence tehdidi analisti Ramuel Gall, Yamayı tersine mühendislik yaparken, kimlik doğrulanmamış saldırganların birleştirme etiketlerinde bir kusur kullanarak çeşitli ninja formları sınıflarını çağırmak için bu hatayı uzaktan kullanabileceği keşfetti.
Başarılı bir sömürü, birkaç sömürü zinciri aracılığıyla, bunlardan biri, hedeflenen web sitesini tamamen ele geçirmesine izin veren birkaç sömürü zinciri aracılığıyla tamamlanmamış WordPress sitelerini tamamen ele geçirmelerine olanak tanır.
WordFence Tehdit İstihbarat Lideri Chloe Chamberland, "Kimlik doğrulanmamış saldırganların çeşitli ninja formlarında sınırlı sayıda yöntem çağırmasını mümkün kılan bir kod enjeksiyon kırılganlığı ortaya çıkardık." Dedi. .
"Bu, saldırganların ayrı bir pop zincirinin bulunduğu sitelerde keyfi kod yürütmesine veya keyfi dosyaları silmesine izin verebilir."
Resmi bir duyuru olmasa da, en savunmasız web siteleri, bu kusur 14 Haziran'da yamalandığı için indirme sayısına göre zaten zorlanmış gibi görünüyor.
Ninja Forms'ın indirme istatistiklerine göre, güvenlik güncellemesi yama piyasaya sürülmesinden bu yana 730.000'den fazla kez piyasaya sürüldü.
Eklenti henüz yamalı sürüme otomatik olarak güncellenmemişse, Güvenlik Güncellemesini gösterge tablosundan manuel olarak uygulayabilirsiniz (saldırılara karşı korunan en son sürüm 3.6.11).
WordFence analistleri, bu güvenlik kusurunun devam eden saldırılarda zaten kullanıldığını gösteren kanıtlar buldular.
Chamberland, "WordPress, bu eklenti için zorla otomatik bir güncelleme gerçekleştirmiş gibi görünüyor, bu nedenle siteniz zaten yamalı sürümlerden birini kullanıyor olabilir."
Bu, WordPress içerik yönetim sisteminin arkasındaki şirket olan Automattic'in, yüz binlerce veya milyonlarca site tarafından kullanılan kritik güvenlik kusurlarını hızlı bir şekilde yama yapmak için zorunlu güncellemeler kullanıldığında önceki örneklerle eşleşir.
Bir WordPress geliştiricisi olan Samuel Wood, Ekim 2020'de Automattic'in WordPress 3.7'nin piyasaya sürülmesinden bu yana "eklentiler için güvenlik bültenleri" için zorunlu güvenlik güncellemelerini kullandığını söyledi.
Automattic güvenlik araştırmacısı Marc Montpas'ın Şubat ayında BleepingComputer'a söylediği gibi, yöneticilerinin "çok nadir ve olağanüstü şiddetli vakalar" daki ayarlarından bağımsız olarak zorla yamalama kullanılır.
Örneğin, 2019'da Jetpack, eklentinin gömme kodunu nasıl işlediğine dair bir hatayı ele alan kritik bir güvenlik güncellemesi aldı.
Diğer zorunlu güvenlik güncellemeleri, Aralık 2018'de Jetpack İletişim Form Blokunun dahili denetiminde bulunan bir sorunu ele aldı, Mayıs 2016'da bazı jetpack kısa kodlarının işlenme biçiminde kritik bir hata ve Haziran 2021'de bir auth mantık sorunu.
Daha yakın zamanlarda, Şubat 2022'de, UpdraftPlus WordPress eklentisini kullanan 3 milyon web sitesi, abonelerin veritabanı yedeklemelerini indirmesini sağlayan bir güvenlik açığını kapatacak şekilde kuvvetli bir şekilde paylaşıldı.
Kritik Jüpiter WordPress eklentisi kusurları, bilgisayar korsanlarının siteleri devralmasına izin veriyor
Hackerlar Milyonlarca Saldırıda Tatsu WordPress eklentisini hedef
WordPress için Premium Okul Yönetim Eklentisine Back Door
Cisco, yaşam sonu VPN yönlendiricilerinde sıfır gün RCE'yi düzeltmeyeceğini söylüyor
Anker Eufy Smart Home Hub'lar Kritik Kusurla RCE saldırılarına maruz kaldı
Kaynak: Bleeping Computer