WordPress, bir saldırgana sitenin tamamını ele geçirme fırsatı sağlayabilecek iki güvenlik açığını gidermek için bir güvenlik güncellemesi duyurdu. İki güvenlik açığı arasında en ciddi olanı, depolanmış siteler arası komut dosyası çalıştırma (Stored XSS) güvenlik açığıdır.
WordPress Depolanan Siteler Arası Komut Dosyası (XSS) Güvenlik Açığı
WordPress XSS güvenlik açığı, WordPress güvenlik ekibi tarafından çekirdek WordPress dosyalarında keşfedildi. Depolanmış bir XSS güvenlik açığı, bir saldırganın bir komut dosyasını doğrudan WordPress web sitesine yükleyebildiği bir güvenlik açığıdır. Bu tür güvenlik açıklarının konumları, genellikle bir gönderi veya iletişim formu göndermek gibi WordPress sitesinin girişe izin verdiği herhangi bir yerdedir.
Tipik olarak bu giriş formları, Sanitizasyon adı verilen şeyle korunur. Temizleme işlemi, girdinin yalnızca metin gibi belirli girdi türlerini kabul etmesini ve JavaScript dosyası gibi diğer girdi türlerini reddetmesini (filtreden geçirmesini) sağlayan bir işlemdir. Wordfence’e göre , etkilenen WordPress dosyaları, kötü amaçlı dosyaların yüklenmesini engellemek için temizleme işlemi gerçekleştirdi. Ancak temizleme işleminin gerçekleştiği sıra, temizleme işleminin atlanabileceği bir durum oluşturdu. Wordfence, bu güvenlik açığını gideren yamaya ilişkin şu bilgileri sundu:
“The patched version runs wp_filter_global_styles_post before wp_filter_post_kses so that any potential bypasses have already been processed and wp_kses can effectively sanitize them.”
Saldırganın komut dosyası yüklemesinin nedeni genellikle dosyanın kodlanma biçimindeki bir hatadır. Yönetici ayrıcalıklarına sahip bir web sitesi kullanıcısı, istismar edilen web sitesini ziyaret ettiğinde, yüklenen kötü amaçlı JavaScript dosyası yürütülür ve bu kullanıcının yönetici düzeyindeki erişimiyle siteyi ele geçirmek, yeni bir yönetici düzeyinde hesap oluşturmak ve arka kapılar yüklemek gibi şeyler yapabilir. Arka kapı, bir bilgisayar korsanının bir WordPress sitesinin arka ucuna tam erişimle istediği zaman erişmesine izin veren bir dosya/koddur.
Prototip Güvenlik Açığı
WordPress’te keşfedilen ikinci soruna Prototip Kirlilik Güvenlik Açığı denir. Bu tür bir güvenlik açığı, JavaScript’te (veya bir JavaScript kitaplığında) web sitesine karşı bir kusurdur. Bu ikinci sorun aslında her ikisi de Prototip Kirlilik Açıkları olan iki sorundur. Biri, Gutenberg wordpress/url paketinde keşfedilen bir Prototip Kirlilik Güvenlik Açığı. Bu, WordPress içinde bir WordPress web sitesinin URL’leri değiştirmesine izin veren bir modüldür.
Örneğin, bu Gutenberg wordpress/url paketi, sorgu dizeleri için çeşitli işlevler sağlar ve büyük harfleri küçük harflere dönüştürmek gibi şeyler yapmak için URL bilgisi üzerinde temizleme gerçekleştirir. İkincisi, jQuery’deki bir Prototip Kirliliği güvenlik açığıdır. Bu güvenlik açığı jQuery 2.2.3’te giderilmiştir. Wordfence, bu güvenlik açığından herhangi bir şekilde yararlanıldığından haberdar olmadıklarını ve bu güvenlik açığından yararlanmanın karmaşıklığının bir sorun olma olasılığının düşük olduğunu belirtiyor. Wordfence güvenlik açığı analizi şu sonuca varmıştır:
“Bir kurbanın tarayıcısında JavaScript’i başarıyla yürütebilen bir saldırgan, potansiyel olarak bir siteyi ele geçirebilir, ancak pratik bir saldırının karmaşıklığı yüksektir ve muhtemelen ayrı bir savunmasız bileşenin yüklenmesini gerektirir. “
WordPress Depolanan XSS Güvenlik Açığı Ne Kadar Kötü?
Bu özel güvenlik açığı, kötü amaçlı bir komut dosyası yüklemek için gerekli izin düzeyine sahip olmak için katkıda bulunan düzeyinde erişime sahip bir kullanıcı gerektirir. Bu nedenle, depolanan XSS güvenlik açığından yararlanmanın bir sonraki adımına geçmek için ilk önce katkıda bulunan düzeyinde bir oturum açma kimlik bilgisi edinme şeklinde ek bir adıma ihtiyaç vardır. Ek adım, güvenlik açığından yararlanılmasını zorlaştırabilirken, göreceli güvenlik ile sitenin tamamının ele geçirilmesi arasındaki tek şey, katkıda bulunan parolaların gücü ve karmaşıklığıdır.
WordPress 5.9.2’ye Güncelleme
WordPress’in en son sürümü olan 5.9.2, güvenlikle ilgili iki sorunu giderir ve Twenty Twenty Two temasını kullanan siteler için bir hata mesajıyla sonuçlanabilecek bir hatayı giderir ve giderir. Bir WordPress izleme bileti, hatayı şu şekilde açıklar:
“Daha eski bir varsayılan temanın etkinleştirilmesi ve ardından Twenty Twenty Two’nun önizlemesi için tıklanması, “Şu anda kullanmakta olduğunuz tema Tam Site Düzenleme ile uyumlu değil” yazan beyaz bir bildirim kutusuyla gri arka planlı bir hata ekranı verdi.”
Resmi WordPress duyurusu, tüm yayıncıların kurulumlarını WordPress 5.9.2 sürümüne güncellemelerini önerir. Bazı sitelerde otomatik güncellemeler etkinleştirilmiş olabilir ve siteler şu anda korunmaktadır. Ancak bu, tüm siteler için geçerli değildir, çünkü birçok site, güncellemeyi onaylamak ve harekete geçirmek için yönetici düzeyinde erişime sahip birisine ihtiyaç duyar. Bu nedenle, web sitenize giriş yapmak ve şu anda 5.9.2 sürümünü kullanıp kullanmadığını kontrol etmek akıllıca olabilir. Web sitesi 5.9.2 sürümünü kullanmıyorsa, dikkate alınması gereken sonraki adımlar web sitesinin kendisini yedeklemek ve ardından en son sürümlere güncellemektir.
Bununla birlikte, bazıları sitenin bir hazırlık sunucusunda bir kopyasını güncelleyerek ve şu anda yüklü eklentiler ve temalarla herhangi bir çakışma olmadığından emin olmak için güncellenmiş test sürümünü gözden geçirerek ek bir güvenlik katmanı ekleyecektir. Tipik olarak, WordPress’te yapılan önemli bir güncellemeden sonra, eklentiler ve temalar sorunları çözmek için güncellemeler yayınlayabilir. Bununla birlikte, WordPress mümkün olan en kısa sürede güncelleme yapılmasını önerir.
Kaynak:
(1) WordPress 5.9.2 Güvenlik ve Bakım Sürümü
(2) WordPress 5.9.2 Güvenlik Güncellemesi, XSS ve Prototip Kirlilik Açıklarını Düzeltiyor