Kritik WordPress Hatası 320.000 Siteyi Saldırıya Açık Bırakıyor

53 / 100 SEO Score

WordPress eklentilerindeki kimlik doğrulama baypas hataları InfiniteWP Client ve WP Time Capsule, yüz binlerce siteyi saldırıya açık bırakır.

İki WordPress eklentisi, InfiniteWP İstemcisi ve WP Time Capsule, rakiplerin bir sitenin arka ucuna şifre olmadan erişmesine izin veren aynı kritik yetkilendirme baypas hatasından muzdariptir.

WebArx’tan araştırmacılara göre, güvenlik açığından yararlanmak için kavram kanıtı saldırıları yapan araştırmacılara göre, bir saldırganın tüm ihtiyacı WordPress eklentileri için yönetici kullanıcı adıdır.

WebArx, Çarşamba günkü keşfi özetleyen bir blog yazısında, “[Her ikisi de], kodda şifre olmadan yönetici hesabına giriş yapmanızı sağlayan mantıksal sorunlar içeriyor.”

WordPress eklenti kütüphanesine göre, 300.000 web sitesi savunmasız InfiniteWP İstemcisi eklentisinin bir sürümünü çalıştırıyor. WP Time Capsule eklentisi kütüphane kayıtlarına göre 20.000 web sitesinde aktif.

Her iki eklenti de kullanıcıların tek bir merkezi sunucudan birden çok WordPress kurulumunda kimlik doğrulaması yapması için tasarlanmıştır. Bu, site sahiplerinin bir WordFence açıklamasına göre, “tüm sitelerdeki çekirdek, eklentiler ve temalar için tek tıklamayla güncellemeler, yedekleme ve site geri yüklemeleri ve birden çok sitede eklentileri ve temaları aynı anda etkinleştirme / devre dışı bırakma” gibi bakım yapmalarına olanak tanır.

Bu güvenlik açıkları ilk olarak 7 Ocak 2020’de bildirildi. Ertesi gün geliştiriciler eklentilerin yeni sürümlerini yayımladı. Salı günü, WebArx hataları herkese açıkladı.

InfiniteWP İstemci Hatası

WebArx, özellikle InfiniteWP İstemcisi eklentisinin 1.9.4.5’in altındaki sürümlerinden etkilendiğini belirtti. Kavramın kanıtı basittir, hatayı 9.8 olarak kabul edilen Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanı veya kritiktir.

Kavram kanıtı saldırısı önce JSON, ardından Base64 ile kodlanmış bir yük gerektirir. Daha sonra bir POST isteği ile hedeflenen siteye ham gönderilir.

“Sorun, init.php dosyasında bulunan iwp_mmb_set_request işlevinde bulunuyor. Bu işlev, IWP_MMB_Core sınıfının request_params değişkeninin boş olup olmadığını kontrol eder; bu, yalnızca yük belirli koşulları karşıladığında doldurulur ”diye açıklıyor WebArx.

“Bu durumda, yükün iwp_action parametresinin, yetkilendirme denetimi olmayan tek eylemler oldukları için readd_site veya add_site’ye eşit olması gerekir. Eksik yetki kontrolü, bu sorunun var olmasının sebebidir. ”

Daha sonra, WebArx, saldırgan tarafından sağlanan kullanıcı adının başka kimlik doğrulaması yapmadan kullanıcı olarak oturum açmak için kullanılacağını söyledi. Şifre yok, sorun yok.

WP Time Capsule Bug

WP Time Capsule’e gelince, araştırmacılar 1.21.16’nın altındaki sürümleri savunmasız olarak tanımladılar.

WP Time Capsule eklentisine gelince, yükü daha basit olabilir ve sadece ham POST isteğinin gövdesinde belirli bir dize içermesi gerektiğini söyledi.

“Sorun wptc-cron-functions.php satır 12’de yer alıyor ve isteği ayrıştırıyor. Parse_request işlevi, ham POST yükünün ‘IWP_JSON_PREFIX’ dizesini içerip içermediğini kontrol eden decode_server_request_wptc işlevini çağırır.

İstismarın kısa versiyonu; “[İstek] bu dizeyi içeriyorsa, wptc_login_as_admin’i çağırır (kullanılabilir tüm yönetici hesaplarını alır ve listedeki ilk hesabı kullanır) ve yönetici olarak giriş yaparsınız.”

hafifletme

WebArx ayrıca bu güvenlik açığı söz konusu olduğunda güvenlik duvarlarının kullanıcılara yanlış bir güvenlik hissi verebileceği konusunda da uyarır.

“Kimlik doğrulama baypas güvenlik açıkları genellikle koddaki mantıksal hatalar olduğundan ve aslında şüpheli görünen bir yük içermediğinden, bu sorunların nereden geldiğini bulmak ve belirlemek zor olabilir” dedi.

Yük kodlandığı için meşru bir yükten ayırt etmek zor olabilir.

“Güvenlik açığının doğası gereği, bulut tabanlı güvenlik duvarları kötü amaçlı veya yasal trafik arasında bir fark yaratamayabilir ve bu nedenle bu güvenlik açığına karşı etkili koruma sağlayamayabilir” diye yazdılar.

Alternatif olarak, sorunu çözmek için eklentilerin her iki yazılım sürümünün de güncellenmesi gerekir (InfiniteWP Client ve WP Time Capsule).

Ali Çömez

Merhabalar, Ben Ali Çömez (Slaweally) Uzun yıllar internet sektöründe zaman geçirdikten sonra tecrübelerimi sizinle paylaşmak için bu bloğu açtım, umarım faydalı olur.

Bu yazı 32 Defa okundu, Beğendiyseniz alttaki benzer yazıları okumanızı öneririm, veya site içinde farklı içerikleri arama yapabilirsiniz.

You may also like...

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir