WordPress, web sitesi abonelerinin genellikle kimlik bilgileri ve PII içeren en son veritabanı yedeklerini indirmesine olanak tanıyan yüksek önemdeki bir güvenlik açığını gidermek için tüm sitelerde UpdraftPlus eklentisini zorunlu güncelleme gibi nadir bir adım attı.
Üç milyon site popüler WordPress eklentisini kullanıyor, bu nedenle büyük platformlar da dahil olmak üzere internetin önemli bir payını etkileyen istismar potansiyeli önemliydi.
Güvenlik açığı, UpdraftPlus’ın 1.16.7 ila 1.22.2 arasındaki sürümlerini etkiler ve geliştiriciler, (ücretli) Premium sürüm için 1.22.3 veya 2.22.3 sürümüyle bunu düzeltti.
Güvenlik açığı güvenlik araştırmacısı tarafından keşfedildi Automattic’ten Marc Montpas ve olarak izlenir CVE-2022-0633 ve 8.5’lik bir CVSS v3.1 puanı taşır.
Kusur ve istismar
UpdraftPlus, planlanmış yedekleme işlevleri ve güvenilir bir e-posta adresine otomatik indirme seçeneği ile yedekleme ve geri yükleme sürecini basitleştirmeye yardımcı olur.
Ancak, eklentide bulunan hatalar nedeniyle, kimliği doğrulanmış herhangi bir düşük seviyeli kullanıcı, dosyaları indirmelerine izin verecek geçerli bir bağlantı oluşturabilir.
Sorun, bir yedeğin nonce tanımlayıcısına ve zaman damgalarına erişmek için gerekli ayrıcalıklara sahip olup olmadıklarına ilişkin yanlış kullanıcı doğrulamasıdır.
Saldırı, en son yedekleme hakkında bilgi almak için bir “veri” parametresi içeren bir sinyal isteği göndererek başlar.
Bu bilgiye sahip olan saldırgan, uç nokta isteğini değiştirdikten sonra “e-posta yoluyla yedekleme gönder” işlevini tetikler.
Bu işlev normalde yalnızca yöneticilerle sınırlıdır, ancak hedef sitede hesabı olan herkes, izin kontrolünün eksik olması nedeniyle sınırsız olarak ona erişebilir.
Elbette, saldırganın veritabanı yedeklerini nasıl indireceğini bilmesi gerekir ve şimdilik Updraft, vahşi doğada böyle bir vaka görmediğini bildiriyor.
“Zamanın bu noktasında, (bir PoC’nin görünümü), bunu çözmek için en son UpdraftPlus sürümündeki değişiklikleri tersine mühendislik yapan bir bilgisayar korsanına güveniyor.” – Havanın yükselmesi.
Automattic raporunda belirtildiği gibi, savunmasız eklenti sürümlerinde bazı dolaylı kontroller hala mevcuttu, ancak bunlar yetenekli bir saldırganı durdurmak için yeterli değil.
Zaman çizelgesi ve düzeltmeler
Kusur 14 Şubat 2022’de keşfedildi ve UpdraftPlus hemen bilgilendirildi, teknik detaylar ise ertesi gün takip edildi.
Popüler eklentinin geliştiricilerinden yanıt neredeyse anında geldi ve 16 Şubat 2022’de WordPress, kurulumları 1.22.3 sürümüne zorunlu yükseltmeye başladı.
WordPress’e göre istatistikleri indir bu eklenti için, 16’sında 783.000 yükleme yükseltildi ve 17’sinde 1,7 milyon yükleme daha güncellendi.
Montpas, Bleeping Computer’a bunun, WordPress’in yöneticilerinin ayarlarından bağımsız olarak tüm sitelerde otomatik güncellemeleri zorladığı çok nadir ve son derece ciddi durumlardan biri olduğunu söyledi.
Güvenli sürüme hemen güncelleme yapmak istiyorsanız, güvenlik güncellemesini kontrol panelinden manuel olarak uygulayabilirsiniz. Bugün mevcut olan en son sürüm 1.22.4bu yüzden kullanılması tavsiye edilendir.
Bu güvenlik açığının, herhangi bir türde kullanıcı oturum açmayı desteklemeyen veya herhangi bir yedek tutmayan siteler için herhangi bir risk oluşturmadığını unutmayın.