Sucuri’deki araştırmacılar WordPress web sitelerinde sık kullanılan Jetpack plugininde kritik bir siteler arası komut çalıştırma (XSS) açığı tespit etti.
Jetpack plugini WordPress site operatörleri için isteğe göre uyarlama, trafik, mobil, içerik ve performans araçları gibi bir dizi özelliği kullanıma açıyor. Plugin şu ana kadar bir milyondan fazla kez indirilmiş.
Depolanmış XSS açığı bu açıktan etkilenmiş tüm WordPress web sitelerini tamamen ele geçirilme riskiyle karşı karşıya bırakıyor. Sorun geçen hafta içerisinde Jetpack 3.7.1 ve 3.7.2’nin çıkartılmasıyla giderildi ama hala Jetpack 3.7 veya daha alt sürümleri kullananlar hala risk altında.
Geçen Perşembe yayınlanan Sucuri haberinde saldırganlar özel olarak oluşturulmuş kötü amaçlı bir e-posta adresini açıklı WordPress web sitelerinin iletişim formu sayfalarına girerek bu açığı istismar edebiliyor. Haberde Jetpack’in iletişim formu modülünün varsayılan olarak aktive olduğu ifade ediliyor E-posta ‘Geri Bildirim’ kısmına girilmeden önce yeterince temizlenmediği için saldırganların bu açığı ve biraz da web tarayıcısı hackerlığını kullanıp yönetici tarafında JavaScript kodları çalıştırabileceği ve böylece (hacklenmiş sitenin gelecekte de istismar edilebilmesi için gizli bir izinsiz erişim geçişi açarak, SEO spamleri yerleştirerek vs.) sitede istediklerini yapabilecekleri” söyleniyor.
Cuma günü yapılan e-posta yazışmasında Sucuri açık araştırmacısı Marc-Alexandre Montpas SCMagazine.com’a Sucuri’nin an itibarıyla herhangi bir depolanmış XSS açığı istismarına rastlamadığını söyledi. Ancak, yeni sürümler piyasaya çıktıktan sonra saldırganların istismar denemelerine başlayabileceğini de sözlerine ekledi.
Montpas’a göre açığın istismar edilmesi çok kolay.
“Bu bir depolanmış XSS açığı olduğu için saldırganların saldırı yükünü sessizce tetiklemek için yöneticinin pluginin Geri Bildirim kısmına girmesini beklemeleri gerekiyor. Bunun gerçekleşmesi durumunda kötü amaçlı yazılımın sitenin kontrolünü ele geçirmesini hiçbir şey durduramaz ve bu da oldukça tehlikeli bir durum,” diyor Montpas.
Montpas Jetpack 3.7.1’de daha az tehlikeli bir bilgi ifşası açığının yamandığını, bu yüzden kullanıcıların iletişim formu modülünü kullanmasalar da bir an önce bu sürüme geçmeleri gerektiğini söylüyor.