Siber saldırganlar, popüler WordPress eklentilerinin kodlarına sızarak 1.2 milyon siteye gizli arka kapılar ve sahte yönetici hesapları yerleştirdi. Hollandalı kötü amaçlı yazılım araştırma firması Sansec'in 13 Haziran'da detaylandırdığı tedarik zinciri saldırısı, WordPress satıcısı Awesome Motive tarafından işletilen OptinMonster, TrustPulse ve PushEngage adlı üç eklentinin sunucularını hedef aldı.
Kötü amaçlı kod, kurban sunucularında barınmak yerine Awesome Motive'in kendi dağıtım ağı üzerinden sızdı. Bu sayede siteler, betikleri yüklerken kurcalanmış dosyaları doğrudan kaynaktan çekti. Yük, oturum açmış bir yönetici sayfayı yükleyene kadar hareketsiz kalıyor; sıradan ziyaretçiler şimdilik etkilenmiyor.
Bir yönetici tespit edildiğinde, betik harekete geçiyor: yeni bir yönetici hesabı oluşturuyor, kendini gizleyen bir arka kapı eklentisi kuruyor ve yeni kimlik bilgilerini meşru sohbet hizmeti tidio.com'un benzerine gönderiyor. OptinMonster tek başına bir milyondan fazla sitede çalışırken, TrustPulse ve PushEngage ile bu sayı 1.2 milyona ulaşıyor. Sansec, saldırganların her tehlikeye atılan siteyi fiilen sahiplendiğini ve normal ziyaretçilere yönelik kötüye kullanımın yakında başlayacağını uyarıyor.
Sistem Güvenliği
Saldırının nasıl gerçekleştiği henüz netlik kazanmadı. Sansec, Awesome Motive'in kendi sunucularının, CDN hesabının veya daha az olasılıkla arkasındaki BunnyNet ağının giriş noktası olabileceğini belirtiyor. Maruz kalma pencereleri kısa görünüyor: Sansec, kurcalanmış OptinMonster ve TrustPulse kodunu 12 Haziran gecesi yaklaşık yarım saat boyunca kaydetti, ardından kayboldu; bu, satıcının fark ettiğini gösteriyor. Ancak PushEngage betiği 13 Haziran'da hala kötü amaçlı yazılım sunuyordu.
Önemli Gelişmeler
Yalnızca üç eklentinin tehlikeye atıldığı doğrulandı, ancak Awesome Motive'in erişimi on milyonlarca siteye kadar uzanıyor: WPForms (altı milyondan fazla kurulum), All in One SEO (yaklaşık üç milyon) ve MonsterInsights (yaklaşık iki milyon). Bunların hiçbiri doğrulanmış bir saldırıya uğramadı, ancak Sansec, Awesome Motive eklentisi kullanan herkesi tanıdık olmayan yönetici hesaplarına ve tidio[.]cc'ye giden trafiğe karşı dikkatli olmaya ve bunlardan biri ortaya çıkarsa hızlı hareket etmeye çağırıyor.
Teknik Analiz
WordPress sitenizi korumak için eklentilerinizi güncel tutun, güvenilir kaynaklardan indirin, yönetici hesaplarını düzenli olarak denetleyin ve bir güvenlik eklentisi kullanın. Ayrıca, olağandışı ağ trafiğini izleyin ve şüpheli dosyaları tarayın. Saldırı tedarik zinciri üzerinden geldiği için temiz bir kurulum ve şifre değişikliği önerilir.
Kaynak: infosecurity-magazine.com