Yazılım tedarik zinciri saldırılarının başka bir örneğinde, bir geliştiricinin web sitesinde barındırılan düzinelerce WordPress teması ve eklentisine, Eylül 2021’in ilk yarısında başka sitelere bulaşmak amacıyla kötü amaçlı kodlarla arka kapı yerleştirildi.

Arka kapı, saldırganlara 40 tema ve 360.000’e yakın aktif web sitesi kurulumuna sahip Nepal merkezli bir şirket olan AccessPress Themes‘e ait 53 eklentiyi kullanan web siteleri üzerinde tam kontrol sağladı.

WordPress eklenti paketi geliştiricisi JetPack‘ten güvenlik araştırmacıları, bu hafta yayınlanan bir raporda, “Virüslü uzantılar, saldırganlara virüslü sitelere tam erişim sağlayan bir web shell içeriyordu.” dedi. “Aynı uzantılar doğrudan WordPress’ten yüklenmesi çok daha doğru olacaktır.”

Güvenlik açığına CVE-2021-24867 tanımlayıcısı atanmıştır. Web sitesi güvenlik platformu Sucuri, ayrı bir analizde, bu arka kapının bulunduğu bazı enfekte web sitelerinin neredeyse üç yıl öncesine dayanan spam yükleri olduğunu ve operasyonun arkasındaki aktörlerin sitelere erişimi satmış olabileceklerini söyledi.

Bu ayın başlarında, siber güvenlik firması eSentire, meşru işletmelere ait WordPress web sitelerinin kötü amaçlı yazılım dağıtımı oldukça savunmasız olduğunu ve bu amaçla yoğun olarak kullanıldığını açıkladı.

Eklentileri doğrudan AccessPress Temaları‘nın web sitesinden yükleyen site sahiplerinin acişen güvenli bir sürüme yükseltmeleri veya WordPress’in en son sürümüyle değiştirmeleri önerilir. Ayrıca, arka kapı kurulumu sırasında yapılan değişiklikleri geri döndürmek için WordPress’in temiz bir sürümünün kurulması da gerekmektedir..

Bulgular ayrıca WordPress güvenlik şirketi Wordfence‘ın, 20.000’den fazla web sitesinde yüklü olan “WordPress E-posta Şablonu Tasarımcısı – WP HTML Mail” adlı bir eklentiyi etkileyen ve fixlnmiş olan bir XSS güvenlik açığının ayrıntılarını duyurdu.

CVE-2022-0218 olarak izlenen hata, CVSS güvenlik açığı puanlama sisteminde 8,3 olarak derecelendirilmiştir ve 13 Ocak 2022’de yayınlanan güncelleştirmelerin bir parçası olarak ele alınmıştır (sürüm 3.1).

Chloe Chamberland, “Bu zaafiyet, bilinmeyen bir saldırganın, bir site yöneticisi panele her eriştiğinde çalışacak kötü amaçlı JavaScript kodu eklemesini mümkün kıldı” dedi. “Bu güvenlik açığı, e-posta şablonunu, güvenliği ihlal edilen siteden e-posta alan herkese karşı kimlik avı saldırısı gerçekleştirmek için kullanılabilecek rasgele veriler içerecek şekilde değiştirmelerine de olanak sağlayacaktır.”

Risk Based Security tarafından bu ay yayınlanan istatistiklere göre, 2021’in sonuna doğru üçüncü parti WordPress eklentilerinde yaklaşık 1.000 güvenlik açığının açıklandığı 2020’den bu yana 142% artışla 2.240 güvenlik açığı keşfedildi ve bildirildi. Bugüne kadar toplam 10.359 WordPress eklenti güvenlik açığı ortaya çıkarıldı.