Popüler bir WordPress kötü amaçlı yazılımdan koruma eklentisinin yansıyan bir siteler arası komut dosyası çalıştırma güvenlik açığına sahip olduğu keşfedildi. Bu, bir saldırganın etkilenen web sitesinin yönetici düzeyindeki bir kullanıcının güvenliğini aşmasına izin verebilecek bir tür güvenlik açığıdır.
Etkilenen WordPress Eklentisi
Güvenlik açığını içerdiği keşfedilen eklenti, 200.000’den fazla web sitesi tarafından kullanılan Kötü Amaçlı Yazılımdan Koruma Güvenliği ve Brute-Force Güvenlik Duvarı’dır. Kötü Amaçlı Yazılımdan Koruma Güvenliği ve Kaba Kuvvet Güvenlik Duvarı, bir web sitesini bir güvenlik duvarı (gelen tehditleri engellemek için) ve arka kapı saldırıları ve veritabanı enjeksiyonları şeklindeki güvenlik tehditlerini kontrol etmek için bir güvenlik tarayıcısı olarak savunan bir eklentidir. Premium sürüm, web sitelerini parola ve kullanıcı adlarını tahmin etmeye çalışan kaba kuvvet saldırılarına karşı korur ve DDoS saldırılarına karşı korur.
Yansıyan Siteler Arası Komut Dosyası Güvenlik Açığı
Bu eklentinin, bir saldırganın Reflected Cross-Site Scripting (yansıyan XSS) saldırısı başlatmasına izin veren bir güvenlik açığı içerdiği bulundu. Bu bağlamda yansıyan bir siteler arası komut dosyası çalıştırma güvenlik açığı, bir WordPress web sitesinin siteye girilebilecekleri uygun şekilde sınırlamadığı bir güvenlik açığıdır. Yüklenenleri kısıtlamadaki (temizlemedeki) başarısızlık, esasen web sitesinin ön kapısının kilidini açık bırakmak ve neredeyse her şeyin yüklenmesine izin vermek gibidir.
Bir bilgisayar korsanı, bir komut dosyası yükleyerek ve web sitesinin onu geri yansıtmasını sağlayarak bu güvenlik açığından yararlanır. Yönetici düzeyinde izinlere sahip biri, saldırgan tarafından oluşturulan güvenliği ihlal edilmiş bir URL’yi ziyaret ettiğinde, komut dosyası, kurbanın tarayıcısında depolanan yönetici düzeyindeki izinlerle etkinleştirilir. Kötü Amaçlı Yazılımlara Karşı Güvenlik ve Brute-Force Güvenlik Duvarı hakkındaki WPScan raporu, güvenlik açığını açıkladı:
“Eklenti, bir yönetici sayfasına geri göndermeden önce QUERY_STRING’i temizlemez ve kaçmaz, bu da karakterleri kodlamayan tarayıcılarda Yansıtılan Siteler Arası Komut Dosyasına yol açar”
Amerika Birleşik Devletleri Hükümeti Ulusal Güvenlik Açığı Veritabanı, bu güvenlik açığına henüz bir önem düzeyi puanı atamamıştır. Bu eklentideki güvenlik açığına Reflected XSS güvenlik açığı denir. Başka tür XSS güvenlik açıkları da vardır, ancak bunlar üç ana türdür:
- Depolanan Siteler Arası Komut Dosyası Güvenlik Açığı (Depolanmış XSS)
- Kör Siteler Arası Komut Dosyası Çalıştırma (Kör XSS)
- yansıyan XSS
Depolanan bir XSS a Blind XSS güvenlik açığında, kötü amaçlı komut dosyası web sitesinin kendisinde depolanır. Yönetici düzeyinde bir kullanıcının komut dosyasını tetiklemesini sağlamak daha kolay olduğundan, bunlar genellikle daha yüksek bir tehdit olarak kabul edilir. Ancak bunlar eklentide keşfedilen türden değil. Eklentide keşfedilen yansıtılmış bir XSS’de, yönetici düzeyinde kimlik bilgilerine sahip bir kişinin, bir bağlantıya (örneğin bir e-postadan) tıklaması için kandırılması gerekir; bu, daha sonra web sitesindeki kötü amaçlı yükü yansıtır. Kar amacı gütmeyen Açık Web Uygulaması Güvenlik Projesi (OWASP) , aşağıdaki gibi bir Yansıtılmış XSS’yi tanımlar :
“Yansıyan saldırılar, enjekte edilen komut dosyasının bir hata mesajı, arama sonucu veya isteğin bir parçası olarak sunucuya gönderilen girdinin bir kısmını veya tamamını içeren diğer herhangi bir yanıtta olduğu gibi web sunucusundan yansıtıldığı saldırılardır. Yansıtılmış saldırılar, kurbanlara bir e-posta mesajı veya başka bir web sitesi gibi başka bir yoldan iletilir.”
4.20.96 Sürümüne Güncelleme
Herhangi bir eklentiyi veya temayı güncellemeden önce genellikle WordPress dosyalarınızın yedeğini almanız önerilir. Kötü Amaçlı Yazılımdan Koruma Güvenliği ve Brute-Force Güvenlik Duvarı WordPress eklentisinin 4.20.96 sürümü, güvenlik açığı için bir düzeltme içerir.