Bilgisayar korsanları, yaklaşık 100.000 web sitesine yüklenen WordPress için Tatsu Builder eklentisinde bir uzaktan kod yürütme güvenlik açığı olan CVE-2021-25094'ü büyük ölçüde kullanıyor.
Nisan ayı başından beri bir yama mevcut olmasına rağmen, 50.000'e kadar web sitesinin eklentinin savunmasız bir sürümünü çalıştıracağı tahmin edilmektedir.
Büyük saldırı dalgaları 10 Mayıs 2022'de başladı ve dört gün sonra zirveye çıktı. Sömürü şu anda devam etmektedir.
Tatsu Builder, Web tarayıcısına entegre edilmiş güçlü şablon düzenleme özellikleri sunan popüler bir eklentidir.
Hedeflenen güvenlik açığı CVE-2021-25094'tür, bir uzaktan saldırganın eklentinin eski bir sürümü ile sunucularda keyfi kod yürütmesine izin verir (hepsi 3.3.12'den önce).
Kusur, 28 Mart 2022'de kamuoyu açıklayan bağımsız araştırmacı Vincent Michel tarafından ve konsept kanıtı (POC) istismar kodu tarafından keşfedildi.
Satıcı, 3.3.13 sürümünde bir yama yayınladı ve kullanıcıları 7 Nisan 2022'de e -posta yoluyla uyardı ve güncellemeyi uygulamaya çağırdı.
WordPress eklentileri için bir güvenlik çözümü sunan bir şirket olan WordFence, mevcut saldırıları izliyor. Araştırmacılar, Tatsu Builder'ın savunmasız bir versiyonunu çalıştıran 20.000 ila 50.000 arasında web sitesi olduğunu tahmin ediyor.
WordFence, müşterilerine karşı milyonlarca saldırı gördüğünü ve 14 Mayıs 2022'de 5,9 milyon denemeyi engellediğini bildirdi.
Hacim sonraki günlerde azaldı, ancak sömürü çabaları yüksek seviyelerde devam ediyor.
Tehdit oyuncuları, "WP-Content/Uploads/typeHub/Custom/" dizininin bir alt klasörüne kötü amaçlı yazılım damlası enjekte etmeye çalışır ve onu gizli bir dosya haline getirir.
Damlaya ".sp3ctra_xo.php" olarak adlandırılır ve 3708363c5b7bf582f8477b1c82c8cbf8 MD5 karmasına sahiptir.
WordFence, sadece üç IP adresinden bir milyondan fazla saldırının geldiğini bildirdi: 148.251.183 [.] 254, 176.9.117 [.] 218 ve 217.160.145 [.] 62. Web sitesi yöneticilerine bu IP'leri blok listelerine eklemeleri tavsiye edilir.
Tabii ki, bu uzlaşma göstergeleri istikrarlı değildir ve saldırgan farklı olanlara geçebilir, özellikle de halka açık oldukları için.
Tatsu Builder eklentisinin tüm kullanıcılarının saldırı risklerinden kaçınmak için 3.3.13 sürümüne yükseltilmesi önerilir.
Elementor WordPress eklentisindeki kritik kusur 500k siteyi etkileyebilir
Zyxel, saldırıya uğramış ağlara yol açabilecek güvenlik duvarı kusurlarını düzeltiyor
F5 kritik Big-IP RCE hatasını uyarıyor Cihazın devralınmasına izin veriyor
Microsoft, Azure Kusur için Düzeltmeler Bulunuyor RCE saldırılarına izin veriyor
Synology çoklu ürünlerde kritik netatalk hataları uyarıyor
Kaynak: Bleeping Computer