Saldırganlar, 1,2 milyon kadar siteye gizli arka kapılar ve hileli yönetici hesapları yerleştirmek için birçok popüler WordPress eklentisinin arkasındaki kodu ele geçirdi.
Hollandalı kötü amaçlı yazılım araştırma şirketi Sansec tarafından 13 Haziran'da ayrıntılarıyla açıklanan tedarik zinciri saldırısı, WordPress satıcısı Awesome Motive tarafından çalıştırılan üç eklenti olan OptinMonster, TrustPulse ve PushEngage için sunulan JavaScript'le oynandı.
Kötü amaçlı kod, kurban sunucularda yaşamak yerine, Awesome Motive'in kendi dağıtım ağı üzerinden içeri girdi, böylece komut dosyalarını yükleyen herhangi bir site, tahrif edilmiş dosyaları doğrudan kaynaktan aldı.
Detaylar ve Etkileri
Oturum açmış bir yönetici bir sayfa yükleyene kadar yük hareketsiz kalır ve şimdilik sıradan ziyaretçilere dokunulmaz.
Sonuç ve Değerlendirme
WordPress arka kapı eklentileri hakkında daha fazlasını okuyun: Yeni WordPress Kötü Amaçlı Yazılımları Eklenti Kılığına Giriyor
Değiştirilmiş Komut Dosyasından Hileli Yöneticiye
Bir yönetici tespit edildiğinde komut dosyası devreye girer. Yeni bir yönetici hesabı oluşturuyor, kontrolünü korumak için kendini gizleyen bir arka kapı eklentisi kuruyor ve ardından yeni kimlik bilgilerini meşru sohbet hizmeti tidio.com'un benzerine gönderiyor.
Sistem Güvenliği
OptinMonster tek başına bir milyondan fazla sitede çalışıyor ve geri kalanını TrustPulse ve PushEngage ekliyor. Saldırganın ele geçirilen her sitenin fiilen sahibi olması nedeniyle Sansec, düzenli ziyaretçilerin kötüye kullanılmasının muhtemel olduğu konusunda uyardı.
Firma, kampanyayı, tek bir yukarı akış dosyasının zehirlenmesinin binlerce aşağı yöndeki siteyi etkilediği 2024 Polyfill saldırısına benzetti.
Saldırganların içeri nasıl girdiği hala belirsizliğini koruyor: Firma, Awesome Motive'in kendi sunucularının, CDN hesabının veya daha az olasılıkla arkasındaki BunnyNet ağının giriş noktası olabileceğini söyledi.
Kısa Pozlama Penceresi
Pozlama pencereleri kısa görünüyor. Sansec, tahrif edilmiş OptinMonster ve TrustPulse kodunu 12 Haziran'da kaybolmadan önce yaklaşık yarım saat kadar kaydetti; bu, satıcının fark ettiği bir ipucuydu, ancak PushEngage betiği 13 Haziran'da hala kötü amaçlı yazılım sunuyordu.
Yalnızca üç eklentinin güvenliğinin ihlal edildiği doğrulandı, ancak Awesome Motive'in erişimi çok daha geniş olup, aşağıdaki gibi ürünler aracılığıyla on milyonlarca siteyi kapsamaktadır:
Nasıl Önlem Alınmalı?
Altı milyondan fazla yüklemeyle WPForms
Hepsi Bir Arada SEO, yaklaşık üç milyon
MonsterInsights, yaklaşık iki milyon
Teknik Analiz
Bunların hiçbiri onaylanmış bir başarı değil, ancak Sansec, Awesome Motive eklentisi çalıştıran herkesi tanıdık olmayan yönetici hesaplarını ve tidio[.]cc trafiğini izlemeye ve bunlardan herhangi biri ortaya çıkarsa hızlı hareket etmeye çağırdı.
Infosecurity yorum almak için Awesome Motive'e ulaştı.