Bilgisayar korsanları, büyük internet taramalarındaki binlerce WordPress web sitesindeki Elementor eklentisi sürümleri için savunmasız esansiyel eklentileri aktif olarak araştırıyor ve ayın başlarında açıklanan kritik bir hesap şifre sıfırlama kusurunu kullanmaya çalışıyor.
Kritik-şiddetli kusur CVE-2023-32243 olarak izlenir ve Elementor sürümleri 5.4.0 ila 5.7.1 için temel eklentileri etkiler, bu da kimlik doğrulanmamış saldırganların yönetici hesaplarının şifrelerini keyfi olarak sıfırlamasına ve web sitelerinin kontrolünü üstlenmesine izin verir.
Bir milyondan fazla web sitesini etkileyen kusur 8 Mayıs 2023'te PatchTack tarafından keşfedildi ve eklentinin 5.7.2 sürümünün yayınlanmasıyla 11 Mayıs'ta satıcı tarafından sabitlendi.
14 Mayıs 2023'te araştırmacılar GitHub'da bir konsept kanıtı (POC) istismarı yayınladı ve aracı saldırganlar için yaygın olarak kullanılabilir hale getirdi.
O zaman, bir BleepingComputer okuyucu ve web sitesi sahibi, sitelerinin kusurdan yararlanarak yönetici şifresini sıfırlayan bilgisayar korsanları tarafından vurulduğunu bildirdi. Yine de, sömürünün ölçeği bilinmiyordu.
Dün yayınlanan bir WordFence raporu daha fazla ışık tutuyor ve şirket, eklentinin web sitelerinde varlığı için milyonlarca problama girişimini gözlemlediğini ve en az 6.900 sömürü denemesini engellediğini iddia ediyor.
Kusurun açıklanmasından sonraki gün WordFence, eklentinin sürüm bilgilerini içeren eklentinin 'ReadMe.txt' dosyasını arayan 5.000.000 problama taraması kaydetti ve bu nedenle bir sitenin savunmasız olup olmadığını belirledi.
Raporda, "Meşru amaçlar için kurulum verilerini araştıran hizmetler olsa da, bu verilerin saldırganların güvenlik açığı açıklandığı anda savunmasız siteler aramaya başladığını gösterdiğine inanıyoruz."
Bu isteklerin çoğu sadece iki IP adresinden geldi: '185.496.220.26' ve '185.244.175.65'.
Sömürü denemelerine gelince, IP adresi '78 .128.60.112 ', GitHub'da piyasaya sürülen POC istismarını kullanarak önemli bir cilde sahipti. Diğer yüksek rütbeli saldıran IP'ler 100 ila 500 deneme arasında sayılır.
'Elementor için Temel Addons' eklentisini kullanan web sitesi sahiplerine, 5.7.2 sürümünü veya üstünü yükleyerek mevcut güvenlik güncellemesini uygulamaları önerilir.
WordFence, "Bu güvenlik açığının ne kadar kolay bir şekilde başarılı bir şekilde kullanılabileceği göz önüne alındığında, sitelerinin bu güvenlik açığından ödün verilmemesini sağlamak için ASAP eklenti güncellemesinin tüm kullanıcılarına kesinlikle tavsiye ediyoruz."
Ayrıca, web sitesi yöneticileri Wordfence raporunda listelenen uzlaşma göstergelerini kullanmalı ve bunları ve gelecekteki saldırıları durdurmak için rahatsız edici IP adreslerini bir blok listesine eklemelidir.
WordFence'ın ücretsiz güvenlik paketi kullanıcıları, 20 Haziran 2023'te CVE-2023-32243'e karşı koruma ile karşılanacaklar, bu yüzden şu anda da maruz kalıyorlar.
Bilgisayar korsanları POC istismarını piyasaya sürdükten sonra WordPress eklentisi kusurunu hedef
Hackerlar Elementor Pro WordPress eklentisinde BUGU BUGU
WordPress Elementor Eklentisi Bug Saldırganların 1M sitelerde hesaplarını ele geçirmesine izin ver
WordPress Custom Field eklentisi, XSS saldırılarına 1m'den fazla siteyi ortaya çıkarır
Saldırganlar Backdoor web sitelerine terk edilmiş WordPress eklentisini kullanıyor
Kaynak: Bleeping Computer