Bilgisayar korsanları, bir konsept kanıtı (POC) istismarının kamuya açıklanmasından yaklaşık 24 saat sonra WordPress Advanced Custom Fields eklentisinde yakın zamanda sabit bir güvenlik açığından aktif olarak yararlanıyor.
Söz konusu güvenlik açığı, kimlik doğrulanmamış saldırganların hassas bilgileri çalmasına ve etkilenen WordPress sitelerinde ayrıcalıklarını artırmasına izin veren yüksek şiddetli yansıtılmış yansıtılmış saha arası senaryo (XSS) kusuru olan CVE-2023-30777'dir.
Kusur, 2 Mayıs 2023'te web sitesi güvenlik şirketi Patchtack tarafından keşfedildi ve eklenti satıcısının 6.1.6 sürümüyle bir güvenlik güncellemesi yayınlamasından bir gün sonra 5 Mayıs'ta bir kavram kanıtı ile birlikte açıklandı.
Akamai Güvenlik İstihbarat Grubu'nun (SIG) dün bildirdiği gibi, 6 Mayıs 2023'ten itibaren PatchTack'in yazısında sağlanan örnek kodu kullanarak önemli tarama ve sömürü etkinliği gözlemlediler.
Raporda, "Akamai SIG, XSS saldırı verilerini analiz etti ve istismar POC'nin kamuya açıklanmasından sonraki 24 saat içinde başlayan saldırıları belirledi."
"Bu konuda özellikle ilginç olan sorunun kendisidir: Tehdit oyuncusu, Patchtack örnek kodunu yazmadan kopyaladı ve kullandı."
Etkilenen WordPress eklentisini kullanan 1,4 milyondan fazla web sitesinin WordPress.org istatistiklerine dayanan en son sürüme yükseltilmediği göz önüne alındığında, saldırganların keşfedilecek oldukça büyük bir saldırı yüzeyine sahipler.
XSS kusuru, tarayıcılarında saldırganlara siteye yüksek ayrıcalıklı erişim sağlayacak kötü amaçlı kod çalıştırmak için eklentiye erişimi olan oturum açmış bir kullanıcının katılımını gerektirir.
Kötü niyetli taramalar, bu hafifletme faktörünün temel hile ve sosyal mühendislik yoluyla üstesinden gelebileceklerine inanan tehdit aktörlerini cesaretlendirmediğini göstermektedir.
Ayrıca, istismar, etkilenen eklenti sürümlerinin varsayılan konfigürasyonları üzerinde çalışır, bu da ekstra çaba gerektirmeden tehdit aktörleri için başarı şansını artırır.
Savunmasız eklentileri kullanan WordPress site yöneticilerinin, devam eden tarama ve sömürü faaliyetlerinden korunmak için hemen mevcut yamayı uygulamaları istenir.
Önerilen eylem, 'Gelişmiş Özel Alanlar' Ücretsiz ve Pro eklentilerini sürüm 5.12.6 (BackPorted) ve 6.1.6'ya yükseltmektir.
WordPress Custom Field eklentisi, XSS saldırılarına 1m'den fazla siteyi ortaya çıkarır
Hackerlar Elementor Pro WordPress eklentisinde BUGU BUGU
WordPress Elementor Eklentisi Bug Saldırganların 1M sitelerde hesaplarını ele geçirmesine izin ver
Mevcut tespitleri atlayan yeni Papercut RCE istismar
VM2 Kütüphanesi için Mevcut Yeni Sandbox Escape POC istismarı, Şimdi Yama
Kaynak: Bleeping Computer