Güvenlik AçıklarıMakaleler

Total-Donations Eklentisi WordPress’i Zero-Day Saldırılarına Açık Hale Getiriyor!

Zero-day: Daha önceden bilinmeyen veya tespit edilmemiş fakat yazılımda kritik açıklar barındıran kusurlara Zero-day açıkları denir. Bu açıklar saldırı gerçekleşene kadar genellikle tespit edilemez. Yani WordPress içerik yönetim sistemini örnek olarak verecek olursak WordPress sürekli olarak güvenlik güncelleştirmeleri getiriyor. WordPress geliştiricilerinin düzeltmeye fırsat bulamadığı zafiyete saldırılırsa buna Zero-day saldırısı yani Zero-day attack deniyor. Zero-day saldırısına neden olan en büyük faktörlerden birisi yazılımcıların geliştirdikleri uygulamanın bir zafiyet barındırdığının farkında olmamaları ve bu şekilde yazılımı kullanıcılarına sunmalarıdır. Bu nedenle Zero-day saldırıları oldukça tehlikelidir.

Total-Donations Eklentisi WordPress’i Zero-Day Saldırılarına Açık Hale Getiriyor!
Wordpress, eklentileri nedeniyle yakın zamanda çeşitli güvenlik uyarılarına tabi tutuldu. Son tehdit ise “Total Donations” eklentisinden kaynaklanıyor. Bu eklentiyi kullanan WordPress kullanıcılarının Zero-Day saldırılarını önlemek için derhal bu eklentiyi silmeleri öneriliyor. Eklentinin kodlarından kaynaklı güvenlik açığı sitenizi bilgisayar korsanlarının hedefi haline getirebilir.

Araştırmacı Mikey Veenstra, bu eklentinin tasarımında da birçok kusur olduğunu belirtti bunun yanı sıra kusurların eklentiyi kullanan herhangi bir siteyi komple saldırılara karşı açık hale getirdiğini söyledi. Hatta öyle güvenlik açıkları bırakıyor ki kimliği doğrulanmamış kullanıcılar bile bu eklentiden kaynaklanan bir güvenlik açığından dolayı siteye erişip değişiklikler yapabilir.
Bu eklentiyi kullanan WordPress kullanıcılarının derhal eklentiyi kaldırmaları öneriliyor. Hackerlar bu eklentiye karşı saldırıda bulunursa MailChimp desteği aracılığıyla –eklenti bağış ile ilgili bir eklenti- bağışların hedeflerini değiştirebilir dolayısıyla yapılan bağışların doğru hedefi bulamaması söz konusu olabilir.

Eklentinin geliştiricisinin de etkin olmadığı belirtildi. WordPress kullanıcıları birkaç hata raporu yollamalarına rağmen Mayıs 2018 tarihinden beri eklentiye güncelleme yapılmadı, dolayısıyla güvenlik açığı da kapatılmadı.
Eklentinin de ticari olması nedeniyle kullanan çok da büyük bir kitle yok ancak kullananlar arasında eğer çok fazla bağış yapabilecek bir kitleye sahip olan varsa işte bu durum hackerlar için o siteyi hedef haline getirebilir.

Etiketler
Daha Fazla Göster

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir