Bir WordPress eklentisi olan Smash Balloon Social Post Feed’in, web sitelerini bir saldırganın kötü amaçlı komut dosyaları yüklemesine izin vermesine neden olan bir güvenlik açığına sahip olduğu keşfedildi. Jetpack’teki güvenlik araştırmacıları, güvenlik açığını keşfetti ve eklenti yayıncılarına bunu yamalayan ve sabit bir sürüm olan 4.0.1 sürümünü yayınlayan bildirimde bulundu. Bundan önceki sürümler savunmasızdır.
Smash Balloon Social Post Feed
Smash Balloon Social Post Feed WordPress eklentisi, Facebook beslemelerini alır ve bunları bir WordPress sitesindeki gönderilere dönüştürür. Eklentinin ücretsiz sürümü, Facebook gönderilerini, Facebook içeriğinin yeniden yayınlandığı sitenin görünümü ve hissi ile eşleşecek şekilde görüntülemek için tasarlanmıştır. Ücretli “profesyonel” sürüm ayrıca resimleri, videoları ve yorumları yeniden yayınlar.
Keyfi Ayar Güncellemesi ile Depolanan Siteler Arası Komut Dosyası
Depolanan Siteler Arası Komut Dosyası Çalıştırma açığı (Depolanmış XSS), kötü niyetli bir saldırganın zararlı komut dosyalarını sunucunun kendisinde yüklemesine ve kalıcı olarak depolamasına olanak tanıyan bir tür siteler arası komut dosyası çalıştırma güvenlik açığıdır. Kar amacı gütmeyen Open Web Application Security Project (OWASP), Stored XSS güvenlik açıklarını açıklar:
“Depolanmış saldırılar, enjekte edilen komut dosyasının bir veritabanı gibi hedef sunucularda kalıcı olarak depolandığı saldırılardır…. Kurban, saklanan bilgileri istediğinde sunucudan kötü amaçlı komut dosyasını alır.
Ayrıcalık ve Olmayan Denetimler
Jetpack tarafından yayınlanan güvenlik uyarısı, Smash Balloon Social Post Feed WordPress eklentisinin bir güvenlik sorunu haline gelmesine neden olan iki güvenlik sorunu olduğunu duyurdu. Ayrıcalık ve Nonce kontrolleri eksikti. XSS saldırıları, genellikle bir WordPress sitesine bir şey yüklemenin veya girmenin bir yolu olan her yerde gerçekleşebilir. Bir form aracılığıyla, yorumlarda, kullanıcının veri girebildiği her yerde olabilir. Bir WordPress eklentisinin, bir kullanıcının sahip olduğu ayrıcalık düzeyine (abone, düzenleyici, yönetici) ilişkin bir kontrol de dahil olmak üzere, kontroller gerçekleştirerek siteyi koruması gerekir. Uygun bir ayrıcalık denetimi olmadan, bir abone gibi en alt düzeydeki bir kullanıcı, yönetici düzeyi ayrıcalıkları gibi normalde en yüksek düzeyde erişim gerektiren eylemleri gerçekleştirebilir. Nonce, girdileri saldırılara karşı koruma amaçlı tek kullanımlık bir güvenlik belirtecidir. WordPress N Once Documentation , nonce’ların değerini açıklar:
“Temanız, kullanıcıların veri göndermesine izin veriyorsa; Yönetici veya ön uçta olsun; nonces, bir kullanıcının bir eylemi gerçekleştirme niyetinde olduğunu doğrulamak için kullanılabilir ve Siteler Arası İstek Sahteciliğine (CSRF) karşı koruma sağlamada etkilidir. Bir örnek, yetkili kullanıcıların video yüklemesine izin verilen bir WordPress sitesidir.”
Jetpack, Smash Balloon eklentisinde ayrıcalık ve nonce kontrollerini gerçekleştiremeyen ve siteyi saldırıya açan bir güvenlik açığı tespit etti. Jetpack, güvenlik açığının web sitelerini nasıl açığa çıkardığını açıkladı:
“Eklentinin iç ayarlarını güncellemekten sorumlu olan wp_ajax_cff_save_settings AJAX eylemi, bunu yapmadan önce herhangi bir ayrıcalık veya nonce kontrolü gerçekleştirmedi. Bu, oturum açmış herhangi bir kullanıcının bu eylemi çağırmasını ve eklentinin ayarlarından herhangi birini güncellemesini mümkün kıldı. Ne yazık ki, bu ayarlardan biri olan customJS, yöneticilerin sitelerinin gönderilerinde ve sayfalarında özel JavaScript depolamasına olanak tanır. Bu ayarı güncellemek, kötü bir oyuncunun sitede kötü amaçlı komut dosyaları depolaması için gereken tek şey.”
Her sürüm güncellemesinin ne içerdiğini kaydeden Smash Balloon Social Post Feed WordPress eklenti değişiklik günlüğü, bir güvenlik sorununun giderildiğini doğru bir şekilde not eder. Smash Balloon’un yaptığı gibi yalnızca güvenlik açıklarını zamanında düzeltmekle kalmaz, aynı zamanda Smash Balloon’un yaptığı değişiklik günlüğüne not etmekten de sorumludur. Değişiklik günlüğü şunları belirtir:
“Düzeltme: Geliştirilmiş güvenlik güçlendirmesi.”
Önerilen eylem
Smash Balloon Social Post Feed, kötü amaçlı komut dosyalarının yüklenmesine izin veren Stored XSS saldırısını düzeltmek için yakın zamanda yamalandı. Jetpack, Smash Balloon Social Post Feed’in bu yazıdaki en son sürüm olan 4.0.1 sürümüne güncellenmesini önerir. Bunu yapmamak, bir WordPress kurulumunu güvensiz hale getirebilir.
