Milyonlarca Wodpress Sitesine Yönelik Saldırılar

Büyük çaplı bir saldırı, 24 saat boyunca yüz binlerce WordPress web sitesini hedef aldı ve WordPress eklentileri ve temalarında bilinen XSS güvenlik açıklarını kötüye kullandıktan sonra yapılandırma dosyalarını çalarak veritabanı kimlik bilgilerini toplamaya çalıştı.

Wordfence QA mühendisi ve tehdit analisti Ram Gall, “29 Mayıs ve 31 Mayıs 2020 arasında Wordfence Güvenlik Duvarı, 1.3 milyon siteden veritabanı kimlik bilgilerini yapılandırma dosyalarını indirerek toplamayı amaçlayan 130 milyondan fazla saldırıyı engelledi.” dedi .

“Bu saldırı kampanyasının zirvesi 30 Mayıs 2020’de gerçekleşti. Bu noktada, bu kampanyadan gelen saldırılar WordPress ekosistemindeki tüm eklenti ve tema güvenlik açıklarından yararlanma girişimlerinin% 75’ini oluşturdu.”

config-grab saldırısı
Kaynak: Wordfence

Saldırganlar, kimlik doğrulama benzersiz anahtarlarının yanı sıra veritabanı kimlik bilgilerini içeren wp-config.php WordPress yapılandırma dosyasını indirmeye çalışıyordu.

Hedeflenen siteler tarafından kullanılan savunmasız eklentilerden başarıyla yararlanırlarsa, bilgisayar korsanları veritabanlarından kolayca kimlik bilgilerini çalabilir ve web sitelerini ele geçirebilir.

Gall, “Bu kampanyanın saldırıları sunucu günlüklerinizde görünür olmalıdır.” “200 yanıt kodu döndüren sorgu dizesinde wp-config.php içeren tüm günlük girdilerini arayın.”

Bu kampanyadaki saldırıları başlatmak için kullanılan 20.000 farklı IP adresine dayanarak, WordPress güvenlik sağlayıcısının araştırmacıları bu büyük kampanyayı 28 Nisan’da başlayan ve 11 Mayıs’ta yüz binlerce savunmasız WordPress sitelerini hedeflemek için yeniden yapılandırılan başka bir büyük ölçekli saldırıya bağlamayı başardılar.

Bu kampanyada, Şubat ayından bu yana Wordfence tarafından izlenen tehdit aktörü, aylar hatta yıllar önce eklentilerdeki siteler arası komut dosyası oluşturma (XSS) güvenlik açıklarından yararlanarak ve daha önce diğer saldırılara hedeflenen ziyaretçileri arka plan oluşturmaya veya kötü amaçlı sitelere yönlendirmeye çalışıyordu. .

Nisan-Mayıs WordPress saldırıları
Kaynak: Wordfence

Bu kampanyaların arkasındaki saldırganlar sadece 3 Mayıs’ta yarım milyondan fazla bölgeye 20 milyondan fazla saldırı başlattı.

Bu tür saldırılara karşı savunmak için, WordPress site sahipleri ve yöneticileri, bu tehdit aktörünün sitelerini tehlikeye atmaya çalıştığı güvenlik açıklarını düzeltmek için tüm eklentilerini ve temalarını güncel tutmalıdır.

Ayrıca WordPress’in deposundan kaldırılanları silmeli veya devre dışı bırakmalı, çünkü artık korunmamaktadırlar ve daha önce yamalanmamış, henüz keşfedilmemiş güvenlik açıkları ile gelebilirler.

About The Author

Reply