- Bilgisayar korsanları şimdi de WordPress hesaplarını hedef alıyor.
- Hacker’lar, yönetici kullanıcılar oluşturmak ve web sitelerinin kontrolünü ele geçirmek için LiteSpeed Cache eklentisinin eski bir sürümüyle WordPress sitelerinden yararlanıyor.
- Bilgisayar korsanlarının WordPress sitelerine sızmak için “wpsupp-user”, “wp-configuser”, “eval(atob(Strings.fromCharCode” kodlarını kullandığı tespit edildi.
Bilgisayar korsanları şimdi de WordPress hesaplarını hedef alıyor. Hacker’lar yönetici kullanıcılar oluşturmak ve web sitelerinin kontrolünü ele geçirmek için LiteSpeed Cache eklentisinin eski bir sürümüyle WordPress sitelerinden yararlanıyor. LiteSpeed Cache (LS Cache), sayfa yüklemelerini hızlandırmaya, ziyaretçi deneyimini iyileştirmeye ve Google arama sıralamasını yükseltmeye yardımcı olan beş milyondan fazla WordPress sitesinde kullanılan bir önbellek eklentisi olarak tanımlanıyor.
Automattic’in güvenlik ekibi WPScan, nisan ayında, CVE-2023-40000 olarak izlenen yüksek önem derecesine sahip (8.8) kimliği doğrulanmamış siteler arası komut dosyası kusuruna karşı savunmasız olan 5.7.0.1’den daha eski eklenti sürümlerine sahip WordPress sitelerini taradı. Taramada bu siteleri tehlikeye atan tehdit aktörlerinin etkinliğinin arttığı gözlemlendi. WPScan bir IP adresinden (94[.] 102[.] 51[.] 144), savunmasız siteleri tararken 1,2 milyondan fazla araştırma talebi vardı.
WordPress veri tabanlarına yerleştirilen kötü amaçlı kodlar nasıl anlaşılır?
WPScan, saldırganların kritik WordPress dosyalarına veya veri tabanına yerleştirilen edilen kötü amaçlı “JavaScript” kodunu kullandığını ve “wpsupp-user” veya “wp-configuser” adlı yönetici kullanıcılar oluşturduğunu bildirdi. Veri tabanına kötü amaçlı kodun yerleştirildiğinin bir başka belirtisi, veri tabanındaki “litespeed.admin_display.messages” seçeneğinde “eval(atob(Strings.fromCharCode” dizesinin bulunması.
LiteSpeed Cache kullanıcılarının büyük bir kısmı, CVE-2023-40000’den etkilenmeyen daha yeni sürümlere geçiş yaptı, ancak 1.835.000’e kadar önemli bir kısmı hâlâ savunmasız bir sürüm çalıştırıyor. WordPress sitelerinde yönetici hesapları oluşturma yeteneği, saldırganlara web sitesi üzerinde tam kontrol sağlayarak içeriği değiştirmelerine, eklentileri yüklemelerine, kritik ayarları değiştirmelerine, trafiği güvenli olmayan sitelere yönlendirmelerine, kötü amaçlı yazılım dağıtmalarına, kimlik avına çıkmalarına veya mevcut kullanıcı verilerini çalmalarına olanak tanıyor.
Haftanın başında Wallarm, yönetici hesapları oluşturmak için “E-posta Aboneleri” adlı bir WordPress eklentisini hedefleyen başka bir kampanya hakkında bilgi verdi. Bilgisayar korsanları, eklenti 5.7.14 ve daha eski sürümlerini etkileyen 9.8/10 önem derecesine sahip kritik bir SQL enjeksiyon güvenlik açığı olan CVE-2024-2876’dan yararlanıyor.
“E-posta Aboneleri”, toplam 90.000 aktif kuruluma sahip olan LiteSpeed Cache’den çok daha az popüler olsa da gözlemlenen saldırılar bilgisayar korsanlarının hiçbir fırsattan kaçınmayacağını gösteriyor.
WordPress site yöneticileri korunmak için ne yapmalı?
WordPress site yöneticilerinin sitelerini kötü amaçlı yazılımlardan korumaları için eklentileri en son sürüme güncellemeleri, gerekli olmayan bileşenleri kaldırmaları veya devre dışı bırakmaları ve oluşturulan yeni yönetici hesaplarını izlemeleri önerilir.
Onaylanmış bir ihlal durumunda tam bir site temizliği zorunlu hâle gelir. Temizlik işlemi, tüm sahte hesapların silinmesini, mevcut tüm hesapların parolalarının sıfırlanmasını, veri tabanı ve site dosyalarının temiz yedeklerden geri yüklenmesini gerektiriyor.
Derleyen: Fatma Ebrar Tuncel