Güvenlik araştırmacıları, okullar için eksiksiz bir yönetim çözümü olarak tasarlanmış birinci sınıf bir WordPress eklentisinde bir arka kapı keşfettiler. Kötü niyetli kod, bir tehdit oyuncunun kimlik doğrulamadan PHP kodunu yürütmesini sağlar.
Eklentinin adı Weblizar tarafından yayınlanan “Okul Yönetimi” dir ve 9.9.7'den önce birden fazla sürüm koduna pişirilmiş arka kapı ile teslim edildi.
En son sürüm temiz olmasına rağmen, geliştirici uzlaşmanın kaynağını belirleyemedi.
Eklenti, okulların canlı dersleri yönetmesine, e -posta veya SMS bildirimleri göndermesine, katılım panolarını tutmasına ve bildirim panolarını yönetmesine, ödemeleri kabul etmesine ve faturaları yönetmesine, sınavları yönetmesine, çevrimiçi kredi kütüphaneleri kurmasına ve hatta nakliye araç filolarını yönetmesine olanak tanır.
Yöneticiler, öğretmenler, muhasebeciler, öğrenciler, ebeveynler, kütüphaneciler ve resepsiyonistler gibi kullanıcılara çeşitli erişim seviyeleri sağlamak için bir Android ve iOS uygulamasıyla birlikte gelen eksiksiz bir çözümdür.
Jetpack, WordPress.com Destek ekibinin eklenti kullanarak çeşitli sitelerde kötü amaçlı kod bulduğunu bildirdikten sonra "okul yönetimi" ni (yazma sırasında güvenli olmayan site) bir göz atmaya başladı.
Hafifçe gizlenmiş koda bakarken Jetpack, eklentinin lisans kontrol koduna enjekte edilen bir arka kapı buldu ve bu da herhangi bir saldırganın PHP kodunu yürütmesine izin verdi.
Arka kapı, bir saldırganın web sitesinin içeriğine erişmesine veya değiştirmesine, ayrıcalıkları yükseltmesine ve sitenin tam kontrolünü üstlenmesine izin verebilir.
Arka kapı eklentinin lisans kontrol kısmına enjekte edildiğinden, bir tane olmayan ücretsiz sürüm de arka kapıyı içermez, bu nedenle etkilenmez.
Jetpack, arka kapının varlığının, genellikle lisanssız çalışan üçüncü taraf web siteleri aracılığıyla dağıtılan veya değiştirilmiş (korsan) bir premium eklenti olduğunu varsaydı.
Ancak, site sahipleri ile görüştükten sonra, analistler eklentinin doğrudan satıcıdan kaynaklandığını öğrendiler, böylece arka kapı “kutudan çıktı”.
Araştırmacılar 4 Mayıs 2022'de satıcıyla temasa geçti ve enjekte edilen kodun varlığı, o zaman en son sürümde 9.9.6 onaylandı. Müteakip araştırma, en az 8.9 sürümünden beri arka kapının mevcut olduğunu göstermiştir.
Geliştirici, arka kapıyı kaldıran ertesi gün 9.9.7 sürümünü yayınladı. Satıcı, güvenlik güncellemelerini hemen uygulamak için bir bildirimle tüm premium istemcilere dağıttı.
Arka kapı enjekte edildiği veya tam olarak ne zaman enjekte edildiğine dair başka bir ayrıntı bilinmedi ve satıcı enjeksiyonun nasıl gerçekleştiğini anlayamadıklarını belirtti.
Bleeping Computer, bu cephede daha fazla ayrıntı bulmak için yazılım satıcısına ulaştı, ancak henüz bir yanıt almadık.
Kritik Jüpiter WordPress eklentisi kusurları, bilgisayar korsanlarının siteleri devralmasına izin veriyor
Hackerlar Milyonlarca Saldırıda Tatsu WordPress eklentisini hedef
Elementor WordPress eklentisindeki kritik kusur 500k siteyi etkileyebilir
Sahte Windows, Cobalt Strike ile Hedef Infosec topluluğundan yararlanıyor
Kötü niyetli PYPI paketi Windows, Linux ve Mac'lerde arka kapı açıyor
Kaynak: Bleeping Computer