CVE-2024-1071 WordPress Eklentisi Güvenlik Açığı

Ultimate Member olarak bilinen ve 200.000'den fazla aktif kurulumla övünen, yaygın olarak kullanılan WordPress eklentisinde endişe verici bir güvenlik açığı ortaya çıktı. CVE-2024-1071 olarak tanımlanan ve CVSS puanı 10 üzerinden 9,8 olan bu kusur, güvenlik araştırmacısı Christiaan Swiers tarafından gün ışığına çıkarıldı.

Kullanıcılara gönderilen bir öneriye göre, güvenlik açığı eklentinin 2.1.3 ila 2.8.2 sürümlerinde bulunuyor ve 'sorting' parametresi aracılığıyla SQL Injection ile ilişkilendiriliyor. Bu zayıflık, kullanıcı tarafından sağlanan çerçeveden yeterince uzaklaşılmamasından ve mevcut SQL sorgusu üzerinde yeterli hazırlık yapılmamasından kaynaklanmaktadır. Sonuç olarak, kimlik doğrulaması olmayan kötü niyetli aktörler, önceden var olanlara ek SQL sorguları enjekte etmek için bu kusurdan yararlanabilir ve bu da hassas verilerin veritabanından çıkarılmasına yol açabilir.

Bu sorunun yalnızca eklenti ayarlarında 'Kullanıcı metası için özel tabloyu etkinleştir' seçeneğini etkinleştiren kullanıcıları etkilediğini vurgulamak önemlidir.

Kullanıcılar Eklentilerini En Kısa Sürede Güncellemeli

Kritik güvenlik açığının sorumlu bir şekilde açıklanmasının ardından eklenti geliştiricileri, 19 Şubat'ta 2.8.3 sürümünü yayınlayarak sorunu derhal ele aldı.

Potansiyel tehditleri en aza indirmek için kullanıcılara eklentinin güncellemesini en son sürüme hızlandırmaları şiddetle tavsiye edilir. Bu öneri, Wordfence'in son 24 saat içinde güvenlik açığını hedef alan bir saldırıyı zaten engellemiş olması nedeniyle özellikle önemlidir.

Özellikle eklentinin güvenlik sorunlarıyla karşılaştığı ilk durum değil. Temmuz 2023'te siber suçlular aynı eklentideki CVE-2023-3460 olarak tanımlanan başka bir zayıflıktan başarıyla yararlandı. CVSS puanı 9,8 olan bu güvenlik açığı, yetkisiz yönetici kullanıcılar oluşturmak ve savunmasız web sitelerinin kontrolünü ele geçirmek için tehdit aktörleri tarafından aktif olarak kötüye kullanıldı.

Siber suçlu grupları genellikle WordPress'i hedef alıyor

Yakın zamanda yapılan bir kampanyada, güvenliği ihlal edilmiş WordPress sitelerinin Angel Drainer gibi kripto filtreleyicileri doğrudan tanıtmak veya ziyaretçileri filtreleyici içeren Web3 kimlik avı sitelerine yönlendirmek için kullanıldığı dikkate değer bir artış görüldü.

Bu saldırılar, Web3 ekosisteminin doğrudan cüzdan etkileşimlerine bağımlılığından yararlanmak için kimlik avı stratejileri ve kötü niyetli enjeksiyonlar kullanıyor ve hem web sitesi sahipleri hem de kullanıcı varlıklarının güvenliği için önemli bir tehdit oluşturuyor.

Bu eğilim, CG (CryptoGrab) olarak bilinen yeni bir hizmet olarak filtreleyici (DaaS) girişiminin tanımlanmasının ardından geldi. CG, Rusça, İngilizce ve Çince konuşanlardan oluşan 10.000'den fazla üyeyle güçlü bir ortaklık programı yürütmektedir. Tehdit aktörleri tarafından kontrol edilen bir Telegram kanalı, potansiyel saldırganları bir Telegram botuna yönlendirerek dolandırıcılık operasyonlarının dışarıya bağımlı olmadan yürütülmesini kolaylaştırıyor.

Bu botun yetenekleri arasında ücretsiz bir alan adı almak, yeni alan adı için mevcut bir şablonu kopyalamak, yönlendirilen fonlar için cüzdan adresini belirlemek ve yeni oluşturulan alan adı için Cloudflare koruması sağlamak yer alıyor.

Ayrıca tehdit grubu, SiteCloner ve CloudflarePage adlı iki özel Telegram botu kullanıyor. SiteCloner mevcut meşru web sitelerini kopyalarken CloudflarePage, Cloudflare koruması ekler. Bu klonlanmış sayfalar daha sonra öncelikli olarak güvenliği ihlal edilmiş X (eski adıyla Twitter) hesapları aracılığıyla dağıtılıyor.