Son derece popüler “Hepsi Bir Arada” SEO WordPress eklentisindeki iki kritik ve yüksek önem dereceli güvenlik açığı, 3 milyondan fazla web sitesini devralma saldırılarına maruz bıraktı.
Automattic güvenlik araştırmacısı Marc Montpas tarafından keşfedilen ve rapor edilen güvenlik açıkları, kritik bir Kimliği Doğrulanmış Ayrıcalık Yükseltme hatası (CVE-2021-25036) ve yüksek önem derecesine sahip Kimliği Doğrulanmış SQL Enjeksiyonu (CVE-2021-25037)’dir.
800.000’den fazla savunmasız WordPress sitesi
Eklentinin geliştiricisi, her ikisini de ele almak için bir güvenlik güncellemesi yayınladı. Hepsi bir arada 7 Aralık 2021’deki hatalar.
Ancak, eklentiyi kullanan 820.000’den fazla site henüz kurulumlarını güncellemedi. indirme istatistikleri yamanın yayınlanmasından bu yana son iki haftadır ve hala saldırılara maruz kalmaktadır.
Bu kusurları son derece tehlikeli yapan şey, iki güvenlik açığından başarıyla yararlanmak, tehdit aktörlerinin kimliğinin doğrulanmasını gerektirse de, saldırılarda bunları kötüye kullanmak için yalnızca Abone gibi düşük seviyeli izinlere ihtiyaç duymalarıdır.
Abone varsayılan bir WordPress kullanıcı rolüdür (tıpkı Katkıda Bulunan, Yazar, Düzenleyici ve Yönetici gibi), genellikle kayıtlı kullanıcıların WordPress sitelerinde yayınlanan makaleler hakkında yorum yapmasına izin vermek için etkinleştirilir.
Aboneler genellikle yorum göndermenin yanı sıra yalnızca kendi profillerini düzenleyebilmelerine rağmen, bu durumda ayrıcalıklarını yükseltmek ve savunmasız sitelerde uzaktan kod yürütme elde etmek ve muhtemelen bunları tamamen ele geçirmek için CVE-2021-25036’dan yararlanabilirler.
Tarih | İndirilenler |
2021-12-07 | 336738 |
2021-12-08 | 1403672 |
2021-12-09 | 68941 |
2021-12-10 | 45392 |
2021-12-11 | 31346 |
2021-12-12 | 26677 |
2021-12-13 | 35666 |
2021-12-14 | 34938 |
2021-12-15 | 72301 |
2021-12-16 | 28672 |
2021-12-17 | 24699 |
2021-12-18 | 18774 |
2021-12-19 | 17972 |
2021-12-20 | 25388 |
Toplam | 2171176 |
WordPress yöneticileri en kısa sürede güncellemeye çağırdı
Montpas’ın açıkladığı gibi, CVE-2021-25036’yı kötüye kullanarak ayrıcalıkları yükseltmek, uygulanan tüm ayrıcalık kontrollerini atlamak için “tek bir karakteri büyük harfe değiştirerek” yama uygulanmamış Hepsi Bir Arada SEO sürümü çalıştıran sitelerde kolay bir iştir.
Montpas, “Bu özellikle endişe verici çünkü eklentinin bazı uç noktaları oldukça hassas. Örneğin, aioseo/v1/htaccess uç noktası bir sitenin .htaccess’ini keyfi içerikle yeniden yazabilir,” dedi.
“Bir saldırgan, .htaccess arka kapılarını gizlemek ve sunucuda kötü amaçlı kod yürütmek için bu özelliği kötüye kullanabilir.”
Hâlâ bu ciddi güvenlik açıklarından (4.0.0 ile 4.1.5.2 arasında) etkilenen All In One SEO sürümlerini kullanan ve 4.1.5.3 yamasını henüz yüklememiş olan WordPress yöneticilerinin bunu hemen yapmaları önerilir.
“Sitenizin All In One SEO eklentisinin hangi sürümünü kullandığını kontrol etmenizi ve etkilenen aralıktaysa en kısa sürede güncellemenizi öneririz.” araştırmacı uyardı bir hafta önce.