Bilgisayar korsanları, savunmasız WordPress kurulumunda yöneticiler de dahil olmak üzere herhangi bir kullanıcının ayrıcalıklarını kazanmak için kritik bir WooCommerce Payment eklentisinin yaygın olarak kullanılmasını yürütüyor.
WooCommerce Payments, web sitelerinin WooCommerce mağazalarında ödeme olarak kredi ve banka kartlarını kabul etmesine izin veren çok popüler bir WordPress eklentisidir. WordPress'e göre, eklenti 600.000'den fazla aktif kurulumda kullanılır.
23 Mart 2023'te, geliştiriciler CVE-2023-28121 olarak izlenen kritik 9.8 dereceli güvenlik açığını düzeltmek için 5.6.2 sürümünü yayınladı. Kusur, 4.8.2, 4.9.1, 5.0.4, 5.1.3, 5.2.2, 5.3.1, 5.4.1, 5.5.2 sürümlerinde sabitlenerek WooCommerce Payion Eklentisi sürümleri 4.8.0 ve daha yüksek sürümleri etkiler. , 5.6.2 ve daha sonra.
Güvenlik açığı, herhangi bir uzak kullanıcının bir yöneticiyi taklit etmesine ve bir WordPress sitesi üzerinde tam kontrol almasına izin verdiğinden, Automattic Force, eklenti kullanan WordPress kurulumlarının güvenlik düzeltmesini yükledi.
O zaman WooCommerce, savunmasızlığın bilinen aktif olarak sömürülmesi olmadığını söyledi, ancak araştırmacılar, hatanın kritik doğası nedeniyle gelecekte sömürü göreceğimiz konusunda uyardı.
Bu ay, RCE Security'deki araştırmacılar hatayı analiz ettiler ve CVE-2023-28121 güvenlik açığı ve nasıl kullanılabileceği konusunda bir teknik blog yayınladılar.
Araştırmacılar, saldırganların bir 'X-WCPAY-Platform-Checkout-User' istek başlığı ekleyebileceğini ve taklit etmek istedikleri hesabın kullanıcı kimliğine ayarlayabileceğini açıklıyor.
WooCommerce ödemeleri bu başlığı gördüğünde, isteği, kullanıcının tüm ayrıcalıkları da dahil olmak üzere belirtilen kullanıcı kimliğindenmiş gibi ele alacaktır.
Blog yazısının bir parçası olarak RCE Security, savunmasız WordPress sitelerinde yeni bir yönetici kullanıcısı oluşturmak için bu kusuru kullanan bir kavram kanıtı yayınladı ve tehdit aktörlerinin site üzerinde tam kontrol almasını kolaylaştırdı.
Bugün, WordPress güvenlik firması WordFence, tehdit aktörlerinin Cumartesi gününe kadar 157.000'den fazla siteyi hedefleyen büyük bir kampanyada bu güvenlik açığını kullandıkları konusunda uyardı.
WordFence, "CVE-2023-28121 atanan güvenlik açığına karşı büyük ölçekli saldırılar, 14 Temmuz 2023 Perşembe günü başladı ve hafta sonu devam ederek 16 Temmuz 2023 Cumartesi günü 157.000 siteye karşı 1.3 milyon saldırı sağladı."
WordFence, tehdit aktörlerinin WP konsol eklentisini kurmak veya hedeflenen cihazda yönetici hesapları oluşturmak için istismar kullandığını söylüyor.
WP konsolunun yüklendiği sistemler için, tehdit aktörleri eklentiyi, güvenlik açığı düzeltildikten sonra bile arka kapı olarak kullanılabilecek bir dosya yükleyicisi yükleyen PHP kodunu yürütmek için kullandı.
WordFence, rastgele şifrelerle yönetici hesapları oluşturmak için istismar kullanan diğer saldırganları gördüklerini söylüyor.
Savunmasız WordPress sitelerini taramak için, tehdit aktörleri '/wp-content/plugins/woocommerce-payments/readme.txt' dosyasına erişmeye çalışırlar ve varsa kusurdan yararlanırlar.
Araştırmacılar, bu saldırılardan sorumlu yedi IP adresi paylaştılar ve IP adresi 194.169.175.93 213.212 siteyi taradı.
BleepingComputer, 12 Temmuz'dan başlayarak erişim günlüklerimizde benzer bir etkinlik gördü.
CVE-2023-28121'in kullanılabilmesi nedeniyle, WooCommerce ödeme eklentisini kullanan tüm sitelerin kurulumlarının güncel olmasını sağlaması şiddetle tavsiye edilir.
Kurulumunuzu son zamanlarda güncellemediyseniz, site yöneticilerinin sitelerini olağandışı PHP dosyaları ve şüpheli yönetici hesapları için taraması ve bulunanları silmeleri de önerilir.
300.000+ Fortinet Güvenlik Duvarı Kritik Fortios RCE HATA KORUNLUK
WordPress Stripe Ödeme Eklentisi Hata Sızıntıları Müşteri Sipariş Detayları
Zyxel, güvenlik duvarlarının devam eden saldırılardan korunmasına ilişkin ipuçlarını paylaşıyor
Microsoft Temmuz 2023 Patch Salı 6 sıfır gün, 132 kusur uyardı
Android Temmuz Güvenlik Güncellemeleri Üç aktif olarak sömürülen hataları düzeltin
Kaynak: Bleeping Computer