Bilgisayar korsanları, ziyaretçileri kötü amaçlı sitelere yönlendirmek veya bir yönetici oturum açtıysa arka kapı yerleştirmek isteyen 900.000’den fazla WordPress sitesini hedef alan büyük bir saldırı başlattı.
Yüke bağlı olarak, saldırılar 900.000’den fazla siteye kötü niyetli talepler göndermek için geçen ay en az 24.000 IP adresi kullanan tek bir tehdit aktörünün çalışması gibi görünüyor.
XSS, kötü amaçlı reklam, arka kapı
Saldırılar 28 Nisan’dan sonra arttı. Wordfence güvenlik eklentisi yapımcıları WordPress güvenlik şirketi Defiant, 3 Mayıs’ta yarım milyondan fazla web sitesine yönelik 20 milyondan fazla saldırı tespit etti.
Defiant’ta kıdemli QA olan Ram Gall, saldırganların çoğunlukla aylar veya yıllar önce düzeltilen ve diğer saldırılarda hedeflenen eklentilerdeki siteler arası komut dosyası oluşturma (XSS) güvenlik açıklarından yararlanmaya odaklandığını söyledi.
Ziyaretçileri kötü amaçlı reklama yönlendirmek başarılı bir saldrının etkilerinden biridir. JavaScript, oturum açmış bir yöneticinin tarayıcısı tarafından yürütülürse, kod, temanın başlık dosyasına başka bir JavaScript ile birlikte bir PHP arka kapısı enjekte etmeye çalışır.
Arka kapı daha sonra başka bir yük alır ve onu yürütmek için temanın başlığında saklar. Gall, “Bu yöntem saldırganın sitenin kontrolünü elinde tutmasına izin verecektir” diye açıklıyor.
Bu şekilde, saldırgan bir web kabuğu, kötü niyetli bir yönetici oluşturan kod veya tüm sitenin içeriğini silmek için kullanılabilecek farklı bir yüke geçebilir.
Hedeflenen eski güvenlik açıkları
Birden fazla güvenlik açığı tespit edildi, ancak aşağıdakiler en çok hedeflenilmektedir. Güvenlik açığından etkilenen eklentilerin geçen yıl veya daha önce resmi depolardan kaldırıldığını veya bir yama aldığını unutmayın.
- Easy2Map eklentisindeki, Ağustos 2019’da WordPress eklenti deposundan kaldırılan ve muhtemelen 3.000’den az siteye yüklendiğini tahmin ettiğimiz bir XSS güvenlik açığı . Bu, tüm saldırıların yarısından fazlasını oluşturdu.
- Blog Designer ‘da 2019’da yamalı bir XSS güvenlik açığı. 1.000’den fazla güvenlik açığı nın kaldığını tahmin ediyoruz, ancak bu güvenlik açığı önceki kampanyaların hedefi oldu.
- WP GDPR Uyumluluğu’ndaki 2018’in sonunda yamalanmış olan ve saldırganların diğer seçeneklere ek olarak sitenin ev URL’sini değiştirmesine olanak tanıyan bir seçenek güncellemesi . Bu eklentinin 100.000’den fazla yüklemesi olmasına rağmen, 5.000’den fazla savunmasız yüklemenin kalmayacağını tahmin ediyoruz.
- Total Donations saldırganların sitenin ev URL’sini değiştirmesine izin verecek bir güvenlik açığı güncelleştiren seçenekler . Bu eklenti 2019’un başlarında Envato Market’ten kalıcı olarak kaldırıldı ve toplam 1.000’den az kurulumun kaldığını tahmin ediyoruz.
- Newspaper temasında 2016 yılında yamalanmış bir XSS güvenlik açığı. Bu güvenlik açığı geçmişte de hedef alındı .
WordPress sitelerinin yöneticileri eklentilerini güncellemeli ve artık WordPress deposunda olmayanları kaldırmalıdır.
Güzel bir yazı olmuş hocam elinize sağlık.