Avustralya Siber Güvenlik Merkezi (ACSC), içerik yönetim sistemi (CMS) kullanıcılarını, ürünlerindeki güvenlik açıklarını taramak ve istismar etmek için 'yüksek ölçekli' bir çabaya karşı uyardı. ACSC'nin 9 Temmuz tarihli güncellemesine göre, kampanya küresel olsa da Avustralya'da birçok KOBİ etkilendi. ACSC, 'Bu kampanya kapsamında, kötü niyetli siber aktörler, CMS yazılımını ve eklentilerini etkileyen çeşitli güvenlik açıklarından yararlanarak web sitelerini webshell dağıtmak için aktif olarak tarıyor' ifadelerini kullandı.
Açıklanan güvenlik açıkları, öncelikli olarak kimlik doğrulamasız dosya yükleme, uzaktan kod çalıştırma, sunucu taraflı istek sahteciliği veya serisizleştirme gibi zafiyetler içeriyor. Webshell'ler ve CMS örneklerine daha sonra uzaktan erişim, tehdit aktörlerinin web sitelerini tahrif etmesine, kullanıcı kimlik bilgilerini ele geçirmesine, kötü amaçlı yazılım yüklemesine veya daha geniş ağ tehlikeye atması için web sunucusu erişimini kullanmasına olanak tanıyabilir. İstismar edilen CVE'lerin çoğu 2025 veya 2026 yıllarına ait olup, etkilenen ürünler arasında WordPress, Craft CMS, MaxSite CMS, MetInfo CMS ve Joomla JCE bulunuyor.
ACSC, CMS sistemlerindeki CVE'lerin hızlı taranması ve istismar edilmesinin, saldırı amaçlı yapay zeka destekli araçların kullanıldığına işaret edebileceğini iddia etti. Geçtiğimiz ay sonunda Five Eyes istihbarat ajansları, öncü yapay zekanın 'aylar içinde' tehdit ortamını 'temelden' dönüştüreceği uyarısında bulunan nadir bir ortak bildiri yayınladı. Bu gelişme, siber saldırıların hız ve karmaşıklık açısından yeni bir boyuta ulaştığını gösteriyor.
ACSC, web sitesi sahiplerine sunucularını tehlike işaretlerine karşı kontrol etmelerini ve aşağıdaki adımlarla iyileştirme yapmalarını tavsiye etti: CMS'yi webshell'ler ve güvenlik açığı olan eklentiler açısından inceleyin. Web erişim günlüklerini, herhangi bir webshell yoluna GET veya POST isteği yapan IP adresleri için kontrol edin. Webshell içeren sunucuları tehlikeye atılmış olarak kabul edin, izole edin, kimlik doğrulamayı denetleyin ve kötü amaçlı olaylar için ağ günlüklerini kontrol edin.
Teknik Analiz
Ayrıca, ilk istismar ve webshell dağıtımıyla bağlantılı geçmiş web isteklerini izleyin. Kötü amaçlı IP adresleriyle ilişkili trafik için ağ günlüklerini inceleyin. Kalıcılık, yanal hareket veya diğer kötü amaçlı eylemlerin kanıtı için günlüğe kaydetme ve ana bilgisayarları araştırın. Bu, yeni hesaplar, veri sızdırma girişimleri veya kötü amaçlı yazılım dağıtımını içerebilir. Yeniden bulaşmayı önlemek için güvenlik açığı bulunan sistemleri yamalayın ve webshell'leri veya diğer kötü amaçlı yazılımları kaldırın veya karantinaya alın. Tehlikeye atılmış web sitelerini son bilinen iyi yedeklerden geri yükleyin.
Sistem Güvenliği
ACSC, CMS sahiplerine yazılımlarını güncel tutarak, dosya oluşturmayı izleyerek/engelleyerek, dosya ve yol erişimini kısıtlayarak, yeni işlemleri izleyerek ve daha geniş ağ tehlikeye atmasını sınırlayarak web sitelerinin güvenliğini proaktif olarak iyileştirmeleri çağrısında bulundu. Bu önlemler, özellikle küçük ve orta ölçekli işletmeler için hayati önem taşıyor. Unutmayın, siber güvenlik yalnızca bir BT sorunu değil, aynı zamanda bir iş sürekliliği meselesidir.
Kaynak: infosecurity-magazine.com