WordPress eklentileri, eklenti koduna doğrudan erişim elde etmek için çalınan kimlik bilgilerini (diğer veri ihlallerinden) kullanan bilgisayar korsanları tarafından saldırıya uğramaya devam ediyor. Bu saldırıları özellikle endişe verici kılan şey, bu tedarik zinciri saldırılarının, kullanıcılara normal bir güncellemeye sahip eklentiler gibi görünmesi nedeniyle gizlice içeri sızabilmesidir.
Tedarik Zinciri Saldırısı
En yaygın güvenlik açığı, bir yazılım kusurunun bir saldırganın kötü amaçlı kod enjekte etmesine veya başka bir tür saldırı başlatmasına izin vermesidir, kusur koddadır. Ancak bir tedarik zinciri saldırısı, yazılımın kendisi veya bu yazılımın bir bileşeni (yazılım içinde kullanılan üçüncü taraf bir betik gibi) doğrudan kötü amaçlı kodla değiştirildiğinde gerçekleşir. Bu, yazılımın kendisinin kötü amaçlı dosyaları teslim ettiği durumu yaratır.
Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bir tedarik zinciri saldırısı tanımlıyor (PDF):
“Bir yazılım tedarik zinciri saldırısı, bir siber tehdit aktörü bir yazılım satıcısının ağına sızdığında ve satıcı yazılımı müşterilerine göndermeden önce yazılımı tehlikeye atmak için kötü amaçlı kod kullandığında meydana gelir. Tehlikeye atılan yazılım daha sonra müşterinin verilerini veya sistemini tehlikeye atar.
Yeni edinilen yazılım baştan itibaren tehlikeye atılmış olabilir veya bir yama veya düzeltme gibi başka yollarla bir tehlikeye atılmış olabilir. Bu durumlarda, tehlikeye atılma yama veya düzeltmenin müşterinin ağına girmesinden önce gerçekleşir. Bu tür saldırılar tehlikeye atılmış yazılımın tüm kullanıcılarını etkiler ve hükümet, kritik altyapı ve özel sektör yazılım müşterileri için yaygın sonuçlar doğurabilir.”
WordPress eklentilerine yönelik bu özel saldırı için saldırganlar, ele geçirilen eklentiyi kullanan her web sitesinde yönetici düzeyinde kullanıcı hesapları oluşturmak amacıyla eklentilere kötü amaçlı kod eklemek için eklenti koduna doğrudan erişimi olan geliştirici hesaplarına erişim sağlamak amacıyla çalıntı parola kimlik bilgilerini kullanıyor. WordPress eklentileri.
Bugün Wordfence, ek WordPress eklentilerinin ele geçirildiğinin tespit edildiğini duyurdu. Güvenliği ihlal edilmiş veya ele geçirilecek daha fazla eklentinin olması pekala söz konusu olabilir. Bu nedenle, neler olup bittiğini anlamak ve kontrolünüz altındaki siteleri koruma konusunda proaktif olmak iyi bir şeydir.
Daha Fazla WordPress Eklentisi Saldırıya Uğradı
Wordfence, Blubrry’nin PowerPress Podcasting eklentisi adı verilen oldukça popüler bir podcasting eklentisi de dahil olmak üzere daha fazla eklentinin tehlikeye girdiğine dair bir uyarı yayınladı.
Bunlar, Wordfence tarafından duyurulan yeni keşfedilen, güvenliği ihlal edilmiş eklentilerdir:
- WP Sunucu Sağlık İstatistikleri (wp-sunucu-istatistikleri): 1.7.6
Yamalı Sürüm: 1.7.8
10.000 aktif kurulum - Reklam Geçersiz Tıklama Koruyucusu (AICP) (reklam geçersiz tıklama koruyucusu): 1.2.9
Yama Sürümü: 1.2.10
30.000’den fazla aktif kurulum - Blubrry’nin PowerPress Podcasting eklentisi (powerpress): 11.9.3 – 11.9.4
Yamalı Sürüm: 11.9.6
40.000+ aktif kurulum - Son Enfeksiyon – Seo Optimized Images (seo-optimized-images): 2.1.2
Yamalı Sürüm: 2.1.4
10.000’den fazla aktif kurulum - En Son Enfeksiyon – Kapsüller – Özel İçerik Türleri ve Alanları (kapsüller): 3.2.2
Yamalı Sürüm: Şu anda yama sürümüne ihtiyaç yok.
100.000+ aktif kurulum - Son Enfeksiyon – Twenty20 Görüntü Öncesi-Sonrası (twenty20): 1.6.2, 1.6.3, 1.5.4
Yamalı Sürüm: Şu anda yama sürümüne ihtiyaç yok.
20.000+ aktif kurulum
Tehlikeye Atılmış Bir Eklenti Kullanıldığında Ne Yapılmalıdır
Sorunu çözmek için bazı eklentiler güncellendi, ancak hepsi güncellenmedi. Güvenliği ihlal edilen eklentinin, kötü amaçlı kodu kaldırmak için yamalı olup olmadığına ve geliştirici şifresinin güncellenip güncellenmediğine bakılmaksızın, site sahipleri, WordPress web sitesine eklenmiş hileli yönetici hesapları olmadığından emin olmak için veritabanlarını kontrol etmelidir.
Saldırı, “Options” veya “PluginAuth” kullanıcı adlarına sahip yönetici hesapları oluşturur, bu nedenle dikkat edilmesi gereken kullanıcı adları bunlardır. Ancak, saldırı gelişmişse ve bilgisayar korsanları farklı yönetici hesapları kullanıyorsa, tanınmayan yeni yönetici düzeyindeki kullanıcı hesaplarını aramak muhtemelen iyi bir fikirdir.
Wordfence WordPress güvenlik eklentisinin Wordfence ücretsiz veya Pro sürümünü kullanan site sahipleri, tehlikeye atılmış bir eklenti keşfedildiğinde bilgilendirilir. Eklentinin Pro seviyesindeki kullanıcıları, enfekte olmuş eklentileri hemen tespit ettikleri için kötü amaçlı yazılım imzaları alırlar.
Wordfence’in bu yeni virüslü eklentilerle ilgili resmi uyarı duyurusunda şu ifadeler yer alıyor:
“Bu eklentilerden herhangi birini yüklediyseniz, kurulumunuzun tehlikeye girdiğini düşünmeli ve derhal olay müdahale moduna geçmelisiniz. WordPress yönetici kullanıcı hesaplarınızı kontrol etmenizi ve yetkisiz olanları silmenizi, ayrıca Wordfence eklentisi veya Wordfence CLI ile tam bir kötü amaçlı yazılım taraması yapmanızı ve kötü amaçlı kodları kaldırmanızı öneririz.
Wordfence Premium, Care ve Response kullanıcılarının yanı sıra ücretli Wordfence CLI kullanıcıları da bu kötü amaçlı yazılımı tespit etmek için kötü amaçlı yazılım imzalarına sahiptir. Wordfence ücretsiz kullanıcıları, 25 Temmuz 2024’te 30 günlük bir gecikmenin ardından aynı algılamayı alacaklardır. Eklentilerden birinin kötü amaçlı bir sürümünü çalıştırıyorsanız, Wordfence Güvenlik Açığı Tarayıcısı tarafından sitenizde bir güvenlik açığı bulunduğuna dair bildirim alacaksınız ve eklentiyi mümkün olan en kısa sürede güncellemeli veya kaldırmalısınız.”
Devamını oku:
0 Yorumlar