WordPress ekosistemi, son günlerde büyük bir güvenlik ihlaliyle sarsıldı. Saldırganlar, Awesome Motive şirketine ait üç popüler eklentinin (OptinMonster, TrustPulse ve PushEngage) kodlarını ele geçirerek arka kapılar ve sahte yönetici hesapları oluşturdu. Hollandalı kötü amaçlı yazılım araştırma firması Sansec'in 13 Haziran'da detaylandırdığı bu tedarik zinciri saldırısı, yaklaşık 1,2 milyon siteyi etkiledi.
Saldırının en dikkat çekici yönü, kötü amaçlı kodun kurban sunucularında değil, Awesome Motive'in kendi dağıtım ağı üzerinden yayılmasıydı. Bu sayede, söz konusu eklentileri kullanan herhangi bir site, dosyaları doğrudan kaynaktan çekerken bulaşmış sürümleri yüklüyordu. Kod, sıradan ziyaretçilere dokunmadan, yalnızca oturum açmış bir yönetici sayfayı yüklediğinde etkinleşiyordu.
Yönetici tespit edildiğinde, komut dosyası harekete geçiyordu. Yeni bir yönetici hesabı oluşturuyor, kendini gizleyen bir arka kapı eklentisi yüklüyor ve ardından yeni kimlik bilgilerini meşru sohbet hizmeti tidio.com'un taklidi bir adrese gönderiyordu. Sansec, saldırganların her bir ele geçirilen siteyi etkin bir şekilde sahiplendiğini ve sıradan ziyaretçilere yönelik kötüye kullanımın yakında başlayabileceğini belirtti.
Detaylar ve Etkileri
Saldırının giriş noktası henüz netlik kazanmış değil. Sansec, Awesome Motive'in kendi sunucuları, CDN hesabı veya daha düşük bir ihtimalle arkasındaki BunnyNet ağının saldırıya uğramış olabileceğini ifade etti. Maruz kalma süreleri kısaydı: OptinMonster ve TrustPulse için zararlı kod yaklaşık yarım saat boyunca aktif kaldı, PushEngage ise 13 Haziran'da hâlâ kötü amaçlı yazılım yaymaya devam ediyordu.
Awesome Motive'in etki alanı oldukça geniş. Sadece OptinMonster bir milyondan fazla sitede kullanılıyor. Şirketin WPForms (6 milyon+ kurulum), All in One SEO (3 milyon) ve MonsterInsights (2 milyon) gibi diğer ürünleri de bulunuyor. Bu eklentilerin henüz saldırıya uğradığı doğrulanmamış olsa da, Sansec Awesome Motive eklentisi kullanan herkesi, bilinmeyen yönetici hesaplarına ve tidio[.]cc'ye yapılan trafiğe karşı dikkatli olmaya çağırdı.
Bu saldırı, 2024 yılındaki Polyfill saldırısını anımsatıyor; bu saldırıda da tek bir kaynak dosyanın zehirlenmesi binlerce siteyi etkilemişti. WordPress kullanıcıları için en önemli adım, eklentilerini güncel tutmak ve güvenilir kaynaklardan indirmek. Ayrıca, site yöneticilerinin düzenli olarak kullanıcı hesaplarını kontrol etmeleri, şüpheli aktiviteleri izlemeleri ve güvenlik eklentileri kullanmaları öneriliyor.
Güvenlik uzmanları, bu tür tedarik zinciri saldırılarının artabileceğini belirtiyor. Awesome Motive'in diğer eklentileri de potansiyel risk altında. Kullanıcıların, özellikle popüler eklentilerde bile olsa, kod bütünlüğünü doğrulamak için ek güvenlik katmanları (örneğin, Web Uygulama Güvenlik Duvarı) eklemeleri ve düzenli yedekleme yapmaları kritik önem taşıyor.
Kaynak: infosecurity-magazine.com