Avustralya hükümetinin siber güvenlik birimi ACSC, içerik yönetim sistemleri (CMS) kullanıcılarını 'yüksek ölçekli' bir tehdit kampanyasına karşı uyardı. 9 Temmuz'da yayımlanan raporda, saldırganların dünya genelinde web sitelerini tarayarak CMS yazılımları ve eklentilerindeki güvenlik açıklarını istismar ettiği belirtildi. Özellikle Avustralya'daki küçük ve orta ölçekli işletmelerin (KOBİ) hedef alındığı, ancak kampanyanın küresel boyutta olduğu vurgulandı.
ACSC, saldırganların web shell adı verilen kötü amaçlı yazılımları web sitelerine yerleştirmek için aktif olarak tarama yaptığını açıkladı. Bu web shell'ler, saldırganlara CMS üzerinde uzaktan erişim sağlayarak web sitelerini tahrip etme, kullanıcı kimlik bilgilerini çalma, kötü amaçlı yazılım yükleme ve hatta sunucu üzerinden ağa sızma gibi eylemler gerçekleştirmelerine olanak tanıyor. Raporda, istismar edilen güvenlik açıklarının çoğunlukla kimlik doğrulamasız dosya yükleme, uzaktan kod çalıştırma, sunucu taraflı istek sahteciliği (SSRF) ve deserializasyon zafiyetleri olduğu belirtildi.
İstismar edilen CVE kayıtlarının çoğu 2025 ve 2026 yıllarına ait. Hedef alınan CMS platformları arasında WordPress, Craft CMS, MaxSite CMS, MetInfo CMS ve Joomla JCE yer alıyor. ACSC, bu kadar hızlı tarama ve istismar faaliyetinin yapay zeka destekli saldırı araçlarının kullanıldığına işaret edebileceğini vurguladı. Beş Göz istihbarat ittifakı da geçtiğimiz haftalarda yayımladığı nadir ortak bildiride, yapay zekanın siber tehdit ortamını 'aylar içinde' temelden değiştireceği uyarısında bulunmuştu.
Uzmanların Görüşleri
ACSC, web sitesi sahiplerine şu adımları öneriyor: Sunucuları web shell ve güvenlik açığı bulunan eklentilere karşı denetleyin; web erişim günlüklerinde web shell yollarına yapılan GET/POST isteklerini kontrol edin; web shell tespit edilen sunucuları izole edin, kimlik doğrulamayı denetleyin ve ağ günlüklerini kötü amaçlı etkinlikler için tarayın; ilk istismar ve web shell yerleştirme ile bağlantılı geçmiş web isteklerini izleyin; kötü amaçlı IP adreslerine ait trafiği inceleyin; kalıcılık, yanal hareket veya diğer kötü amaçlı eylemler için günlük ve ana bilgisayar kayıtlarını araştırın; güvenlik açıklarını gidererek yeniden bulaşmayı önleyin ve web shell'leri kaldırın; son güvenli yedeklerden web sitelerini geri yükleyin.
Detaylar ve Etkileri
ACSC ayrıca, CMS sahiplerinin proaktif güvenlik önlemleri almasını tavsiye ediyor: Yazılımları güncel tutun, dosya oluşturma işlemlerini izleyin/engelleyin, dosya ve yol erişimlerini kısıtlayın, yeni süreçleri izleyin ve ağ genelinde sızmayı sınırlayın. Bu önlemler, hem mevcut tehditlere karşı koruma sağlayacak hem de gelecekteki saldırıların etkisini azaltacaktır.
CMS kullanıcıları için en kritik adım, yazılım ve eklentilerin güncel tutulmasıdır. Özellikle WordPress gibi popüler platformlar, sürekli güncellenen eklentileriyle saldırganlar için cazip hedefler oluşturuyor. Web sitesi sahiplerinin düzenli güvenlik taramaları yapması, güçlü parolalar kullanması ve gereksiz eklentileri kaldırması da önemli. Ayrıca, web uygulama güvenlik duvarı (WAF) kullanımı da ek bir koruma katmanı sağlayabilir.
Kaynak: infosecurity-magazine.com