- Hackerlar, Brick Builder temasında bulunan kritik bir güvenlik açığından faydalanarak WordPress sitelerine saldırıyor. Bu açık, kullanıcıların kötü amaçlı web uygulaması kodunu (PHP) çalıştırmasına olanak tanıyor.
- Güvenlik açığı 10 Şubat’ta keşfedildi ve Bricks ekibi tarafından 13 Şubat’ta yayımlanan 1.9.6.1 sürümüyle düzeltildi. Ancak saldırganlar, hâlâ açığı kötüye kullanmaya devam ediyor.
- Güvenlik firmaları, bu tehdide dikkat çekiyor ve kullanıcıları güncellemelerini unutmamaları konusunda uyarıyor.
Bilgisayar korsanları, Brick Builder temasında bulunan ve uzaktan kod yürütme (RCE) riski taşıyan kritik bir açıktan faydalanarak WordPress sitelerine saldırıyor. Brick Builder teması, yenilikçi ve topluluk odaklı bir görsel site oluşturucu olarak öne çıkan premium bir WordPress teması. Tema, yaklaşık 25.000 aktif kuruluma sahip.
10 Şubat’ta “Snicco” adlı bir araştırmacı, Brick Builder temasında bulunan bir güvenlik açığı keşfetti. Bu açık, varsayılan yapılandırmada bulunan “prepare_query_vars_from_settings” işlevindeki bir değerlendirme fonksiyonu çağrısından kaynaklanıyor. Söz konusu açık, kimliği doğrulanmamış bir kullanıcının istenmeyen PHP kodunu çalıştırmasına izin verebilir. Bu da ciddi bir güvenlik riski oluşturabilir tabii.
Patchstack platformu, güvenlik açığı hakkında bir rapor aldıktan sonra Bricks ekibini bilgilendirdi. Bricks, 13 Şubat’ta 1.9.6.1 sürümünü kullanıma sunarak güvenlik açığını giderdi. Ancak satıcının belirttiğine göre bu sürümün yayımlanma tarihinden itibaren açığın kötüye kullanıldığına dair herhangi bir kanıt bulunmuyor. Buna rağmen güvenlik uzmanları, kullanıcıların mümkün olan en kısa sürede son sürüme güncelleme yapmalarını önerdi. Bricks resmi bülteninde, “Tüm Bricks sitelerinizi mümkün olan en kısa sürede son Bricks 1.9.6.1 sürümüne güncelleyin. Hatta önümüzdeki 24 saat içinde. Ne kadar erken olursa o kadar iyi olur.” dedi. Aynı gün Snicco, güvenlik açığı ile ilgili bazı detayları açıkladı. Saldırı için demo içeren bir güncelleme yayımladı ancak kötüye kullanım kodunu içermedi.
Aktif kötüye kullanım devam ediyor
Patchstack, 14 Şubat’ta başlayan aktif kötüye kullanım girişimlerini tespit ettikten sonra “CVE-2024-25600” güvenlik açığıyla ilgili detayları paylaştı. Şirket, açığın “queryEditor” aracılığıyla oluşturulan “$php_query_raw” değişkeni ve “prepare_query_vars_from_settings” işlevindeki değerlendirme fonksiyonu kullanılarak gerçekleştirilen kullanıcı girişlerinin etkileşimli olarak yürütülmesinden kaynaklandığını belirtti. Patchstack, yayılma sonrası saldırganların Wordfence ve Sucuri gibi güvenlik eklentilerini devre dışı bırakabilen belirli bir kötü amaçlı yazılım kullandığını gözlemlediğini söylüyor.
Aşağıdaki IP adresleri, saldırıların çoğuyla ilişkilendirildi:
- 200.251.23.57
- 92.118.170.216
- 103.187.5.128
- 149.202.55.79
- 5.252.118.211
- 91.108.240.52
Wordfence, CVE-2024-25600’ün aktif kötüye kullanım durumunu doğruladı ve geçtiğimiz gün 24 tespit gördüğünü bildirdi. Bricks kullanıcılarına, WordPress panosundaki “Görünüm > Temalar” bölümüne gidip “güncelle” seçeneğine tıklayarak ya da manuel olarak 1.9.6.1 sürümüne hemen yükseltmelerini önerdi.
Derleyen: Ayça Ayaz