Avustralya Siber Güvenlik Merkezi (ACSC), içerik yönetim sistemleri (CMS) kullanıcılarını hedef alan "yüksek ölçekli" bir küresel saldırı kampanyası konusunda uyarıda bulundu. 9 Temmuz'da yayınlanan resmi güncellemede, kampanyanın küresel çapta olmasına rağmen özellikle Avustralya'daki birçok küçük ve orta ölçekli işletmenin (KOBİ) etkilendiği belirtildi. ACSC, saldırganların CMS yazılımları ve eklentilerindeki çeşitli güvenlik açıklarından yararlanarak web sitelerine web shell yerleştirmek için aktif olarak tarama yaptığını açıkladı. Bu açıklar genellikle kimlik doğrulaması gerektirmeyen dosya yükleme, uzaktan kod çalıştırma, sunucu taraflı istek sahteciliği (SSRF) veya serileştirme (deserialization) zafiyetlerini içeriyor.
Kampanyada kullanılan güvenlik açıklarının çoğu 2025 veya 2026 yıllarına ait CVE numaralarına sahip. Etkilenen ürünler arasında WordPress, Craft CMS, MaxSite CMS, MetInfo CMS ve Joomla JCE bulunuyor. ACSC, CMS sistemlerindeki CVE'lerin hızlı bir şekilde taranıp istismar edilmesinin, saldırganların yapay zeka destekli araçlar kullandığına işaret edebileceğini vurguladı. Bu uyarı, Five Eyes istihbarat ittifakının geçtiğimiz ay sonlarında yayınladığı ve öncü yapay zekanın tehdit ortamını "aylar içinde" temelden değiştireceğini belirten nadir ortak bildirinin hemen ardından geldi.
Web shell'ler ve CMS örneklerine sağlanan uzaktan erişim, tehdit aktörlerinin web sitelerini tahrif etmesine, kullanıcı kimlik bilgilerini ele geçirmesine, kötü amaçlı yazılım yüklemesine veya web sunucusu erişimini daha geniş ağ saldırıları için kullanmasına olanak tanıyor. ACSC, web sitesi sahiplerine sunucularını tehlike işaretlerine karşı kontrol etmeleri ve aşağıdaki adımlarla iyileştirme yapmaları çağrısında bulundu: CMS'de web shell ve güvenlik açığı bulunan eklentileri inceleyin; web erişim günlüklerini, web shell yollarına GET veya POST istekleri yapan IP adresleri açısından tarayın; web shell tespit edilen sunucuları tehlikeye girmiş kabul edin, izole edin, kimlik doğrulamayı denetleyin ve ağ günlüklerinde kötü niyetli olayları kontrol edin; ilk istismar ve web shell dağıtımına bağlı geçmiş web isteklerini izleyin; ağ günlüklerini kötü amaçlı IP adreslerine yönelik trafik açısından inceleyin; günlükleri ve ana bilgisayarları kalıcılık, yanal hareket veya diğer kötü amaçlı eylemler (yeni hesaplar, veri sızıntısı girişimleri veya kötü amaçlı yazılım dağıtımı) açısından araştırın.
ACSC ayrıca güvenlik açığı bulunan sistemleri yeniden bulaşmayı önlemek için yamalamanın, web shell veya diğer kötü amaçlı yazılımları kaldırmanın veya karantinaya almanın ve tehlikeye giren web sitelerini bilinen temiz yedeklerden geri yüklemenin önemini vurguladı. Bununla birlikte, CMS sahiplerine web sitelerinin güvenliğini proaktif olarak artırmaları için şu tavsiyelerde bulunuldu: yazılımları güncel tutun; dosya oluşturmayı izleyin/engelleyin; dosya ve yol erişimini kısıtlayın; yeni süreçleri izleyin; ve daha geniş ağ saldırılarını sınırlayın.
Uzmanlar, bu tür saldırılara karşı en etkili savunmanın düzenli güncelleme ve yama yönetimi olduğunu belirtiyor. Özellikle WordPress gibi yaygın CMS platformlarında kullanılan eklentilerin güncel tutulması, güvenlik duvarlarının etkinleştirilmesi ve yetkisiz erişim denemelerinin izlenmesi kritik önem taşıyor. Ayrıca, web sitelerinde dosya yükleme işlemlerinin sıkı kontrollere tabi tutulması ve yalnızca güvenilir kaynaklardan gelen eklentilerin kullanılması öneriliyor. ACSC’nin uyarısı, yapay zeka destekli siber saldırıların giderek yaygınlaştığı bir dönemde, KOBİ'lerin siber güvenlik önlemlerini acilen gözden geçirmesi gerektiğini bir kez daha hatırlatıyor.
Kampanyanın küresel boyutu ve hızı, siber güvenlik camiasında endişe yaratmış durumda. ACSC’nin tespitine göre saldırganlar, keşfedilen güvenlik açıklarını çok kısa sürede istismar edebiliyor. Bu da özellikle güncelleme döngüsü yavaş olan kurumlar için büyük bir risk oluşturuyor. Web sitesi sahiplerinin, güvenlik güncellemelerini gecikmeden uygulaması ve şüpheli aktiviteleri anında raporlaması hayati önem taşıyor. ACSC, konuyla ilgili daha fazla bilgi ve teknik rehberlik için resmi web sitesini ziyaret etmeyi öneriyor.
Kaynak: infosecurity-magazine.com