Wordfence’deki WordPress güvenlik araştırmacıları, OptinMonster WordPress eklentisindeki bir kusurun, bilgisayar korsanlarının site ziyaretçilerine saldırmak ve sitenin tamamını ele geçirmelerine neden olmak için kötü amaçlı komut dosyaları yüklemesine izin verdiğini bildirdi.
Temel bir güvenlik kontrolünün yapılmaması, bir milyondan fazla siteyi olası bilgisayar korsanlığı olaylarına maruz bırakır. Wordfence araştırmacıları şu yorumu yaptı:
“… OptinMonster eklentisinde, kimliği doğrulanmamış saldırganların bir sitenin hassas verilerini almasını ve savunmasız sitelere kötü amaçlı komut dosyaları eklemek için kullanılabilecek OptinMonster kullanıcı hesaplarına yetkisiz erişim elde etmesini mümkün kılan tehlikeli bir istismar zincirini etkinleştiren bir kusuru ayrıntılı olarak açıkladık. ”
REST-API Uç Nokta Yeteneği Kontrolü Eksikliği
Bu güvenlik açığı, bilgisayar korsanlarının gerçekten akıllı olmaları ve mükemmel kodlanmış bir WordPress eklentisinden yararlanmanın akıllıca bir yolunu bulmalarından kaynaklanmıyor. Tam tersi. Popüler WordPress güvenlik şirketi Wordfence’deki güvenlik araştırmacılarına göre, istismar, OptinMonster WordPress eklentisindeki WordPress REST-API uygulamasında ” yetersiz yetenek kontrolü ” ile sonuçlanan bir başarısızlıktan kaynaklandı .
Doğru şekilde kodlandığında, REST-API, eklentilerin ve temaların içeriği yönetmek ve yayınlamak için bir WordPress sitesiyle etkileşime girmesine izin vererek WordPress işlevselliğini genişletmek için güvenli bir yöntemdir. Bir eklentinin veya temanın, güvenlikten ödün vermeden web sitesi veritabanıyla doğrudan etkileşime girmesine izin verir… düzgün kodlanmışsa. WordPress REST-API belgeleri şunları belirtir:
“…API hakkında anlaşılması gereken en önemli şey, sitenizin güvenliğinden veya gizliliğinden ödün vermeden blok düzenleyiciyi ve modern eklenti arayüzlerini etkinleştirmesidir.”
WordPress REST-API’nin güvenli olması gerekiyor. Ne yazık ki, OptinMonster kullanan tüm web sitelerinin güvenliği, OptinMonster’ın WordPress REST-API’yi nasıl uyguladığı nedeniyle tehlikeye attı.
REST-API Uç Noktalarının Çoğunluğu Tehlikede
REST-API uç noktaları, bir WordPress sitesindeki bir eklentinin veya temanın değiştirebileceği ve değiştirebileceği gönderileri ve sayfaları temsil eden URL’lerdir. Ancak Wordfence’e göre, OptinMonster’daki hemen hemen her REST-API uç noktası, web sitesi güvenliğini tehlikeye atacak şekilde yanlış kodlanmıştır. Wordfence, OptinMonster’ın REST-API uygulamasının ne kadar zayıf olduğu konusunda yorum yaptı:
“…REST-API uç noktalarının çoğu güvenli olmayan bir şekilde uygulandı, bu da kimliği doğrulanmamış saldırganların eklentinin savunmasız bir sürümünü çalıştıran sitelerdeki çeşitli uç noktaların çoğuna erişmesini mümkün kıldı.
…Eklentide kayıtlı neredeyse tüm diğer REST-API uç noktaları, yetersiz yetenek denetimi nedeniyle, kimliği doğrulanmamış ziyaretçilerin veya bazı durumlarda minimum izinlere sahip kimliği doğrulanmış kullanıcıların yetkisiz eylemler gerçekleştirmesine izin vermesi nedeniyle yetkilendirme atlamasına karşı savunmasızdı.”
Kimliği doğrulanmamış, saldırıya uğrayan web sitesine hiçbir şekilde kayıtlı olmayan bir saldırgan anlamına gelir. Bazı güvenlik açıkları, bir saldırganın abone veya katkıda bulunan olarak kaydedilmesini gerektirir; bu, özellikle bir site abone kayıtlarını kabul etmiyorsa, bir siteye saldırmayı biraz daha zorlaştırır.
Bu güvenlik açığının böyle bir engeli yoktu, kimliği doğrulanmış açıklardan yararlanmalara kıyasla en kötü durum senaryosu olan OptinMonster’dan yararlanmak için kimlik doğrulaması gerekli değildi. Wordfence, OptinMonster kullanan bir web sitesine yapılan saldırının ne kadar kötü olabileceği konusunda uyardı:
“…kimliği doğrulanmamış herhangi bir saldırgan, OptinMonster çalıştıran bir siteye kötü amaçlı JavaScript ekleyebilir, bu da sonuçta site ziyaretçilerinin harici kötü amaçlı alanlara yönlendirilmesine ve yeni yönetici kullanıcı hesapları eklemek veya eklentinin üzerine yazmak için JavaScript eklenmesi durumunda sitelerin tamamen ele geçirilmesine neden olabilir. bir siteye arka kapı erişimi elde etmek için bir web kabuğu ile kodlayın.
Önerilen Eylem Planı
Wordfence, OptinMonster’ın yayıncılarını bilgilendirdi ve yaklaşık on gün sonra, tüm güvenlik açıklarını kapatan OptinMonster’ın güncellenmiş bir sürümünü yayınladı. OptinMonster’ın en güvenli sürümü 2.6.5 sürümüdür. Wordfence, OptinMonster’ın tüm kullanıcılarının eklentilerini güncellemelerini önerir:
“WordPress kullanıcılarının, sitelerinin bu yayın sırasında 2.6.5 sürümü olan mevcut en son yamalı sürüme güncellendiğini hemen doğrulamasını öneririz.”
WordPress, REST-API için en iyi uygulamalar hakkında belgeler sunar ve bunun güvenli bir teknoloji olduğunu iddia eder. Öyleyse, bu tür güvenlik sorunlarının ortaya çıkmaması gerekiyorsa, neden olmaya devam ediyorlar? REST-API için en iyi uygulamalara ilişkin WordPress belgeleri şunları belirtir:
“…sitenizin güvenliğinden veya gizliliğinden ödün vermeden blok düzenleyiciyi ve modern eklenti arayüzlerini etkinleştirir.”
Bu güvenlik açığından etkilenen bir milyondan fazla siteyle, en iyi uygulamalar varsa, neden bu tür bir güvenlik açığının son derece popüler OptinMonster eklentisinde meydana geldiğini merak etmek gerekir. Bu WordPress’in kendi hatası olmasa da, bu tür şeyler tüm WordPress ekosistemine olumsuz olarak yansır.
Kaynak: OptinMonster Güvenlik Açıklarından Etkilenen 1.000.000 Site