WordPress üzerinde çalışan en az 1 milyon web sitesine, çok sayıda sıfır gün de dahil olmak üzere sitelere kötü amaçlı kod enjekte etmek için çok sayıda WordPress eklentisi ve tema güvenlik açığı kullanan bir kampanya bulaştı.
Sucuri’nin araştırmasına göre, şirketin “Balada Enjektörü” olarak adlandırdığı kampanya, yalnızca üretken olmakla kalmıyor, aynı zamanda uzun ömürlülüğü açısından da Methuselah benzeri, en az 2017’den beri kurban siteleri kötü amaçlı yazılımlarla çarpıyor. Siteye bir kez enjekte edildiğinde, kötü kod web sitesi ziyaretçilerini sahte teknik destek, hileli piyango kazançları ve Captcha çözümleri isteyen push bildirimleri dahil olmak üzere bir dizi dolandırıcılık sitesine yönlendirir.
Ancak sahne arkasında enjekte edilen betikler, erişim günlüğü dosyaları, hata günlükleri, hata ayıklama bilgileri içeren dosyalar, veritabanı yönetim araçları, yönetici kimlik bilgileri ve daha fazlası gibi hassas veya potansiyel olarak yararlı bilgiler içerebilecek çeşitli dosyaları arar. Ayrıca, kalıcı erişim ve bazı durumlarda site devralma için sitelere arka kapılar yüklerler.
1 milyon istatistik, son beş yılda toplu olarak virüs bulaşan sitelerin sayısı olsa da, araştırmacılar yakın zamanda tüm etkinliği tek bir operasyona bağladılar. Bundan sonra, kampanya herhangi bir yavaşlama belirtisi göstermiyor.
Sucuri araştırmacıları bir blog gönderisinde, “Yalnızca 2022’de, harici web sitesi tarayıcımız SiteCheck bu kötü amaçlı yazılımı 141.000’den fazla kez tespit etti ve engellenen kaynaklara sahip web sitelerinin %67’sinden fazlası bilinen Balada Injector alanlarından komut dosyaları yüklüyor.”
WordPress Eklentisi ve Tema Güvenlik Açıklarına Odaklanma
Balada Enjektörü kampanyasının, Sucuri araştırmacılarının gözlemlenen tüm etkinliği tek bir ilişkilendirme şemsiyesi altında toplamasına olanak tanıyan, anında tanınabilen birkaç özelliği vardır. Bunlar, güvenliği ihlal edilmiş ortam boyunca birden fazla arka kapı yüklemek ve bırakmak; kötü amaçlı komut dosyalarının rastgele alt alanlarda barındırıldığı, dönen bir alan adları listesi kullanmak; ve spam içerikli yönlendirmeler.
Ama belki de en önemlisi, Balada Injector operatörlerinin WordPress eklentileri ve temalarındaki güvenlik açıklarını çok iyi kullanmasıdır. Ana WordPress içerik yönetim sistemine (CMS) yönelik bu tür modüler eklentiler, site yöneticilerinin e-ticaret ekipleri için yoklama yeteneği, mesaj panosu desteği veya tıkla ve ara entegrasyonu gibi çeşitli işlevler eklemesine olanak tanır.
Sucuri analizine göre, “WordPress temalarındaki ve eklentilerindeki her türlü güvenlik açığı, bir saldırganın kod enjekte etmesine veya web sitesine yetkisiz erişim elde etmesine izin verebilir – bu, sonunda kod enjeksiyonlarının mümkün olduğu düzeye yükseltilebilir.” “Bütün bu süre boyunca, Balada Injector hızla yeni açıklanan güvenlik açıklarını (ve bazen açıklanmayan sıfır günleri) ekledi ve zaman zaman güvenlik açığı ifşa edildikten birkaç saat sonra büyük bulaşma dalgaları başlattı.”
Aslında, bu böcek merkezli strateji, saldırıların ritmini belirler – Sucuri, “muhtemelen yeni bildirilen ve sıfır gün güvenlik açıklarını toplamak ve test etmek için kullanılan” aradaki boşluklarla birlikte birkaç haftada bir meydana gelen yeni faaliyet dalgalarını izliyor. “
Ayrıca, daha eski güvenlik açıkları da karışımın bir parçasıdır ve bazıları yama uygulandıktan sonra aylarca ve yıllarca kampanya tarafından kullanımda kalır.
WordPress Ekosistemini Hedefleme
WordPress ortamı, her türden siber suçlu için popüler bir hedeftir ve buna, eklenti ekosisteminin herkesin bildiği gibi bozuk olması da yardımcı olur.
Bugcrowd bug bounty platformunun kurucusu ve CTO’su Casey Ellis, “Nasıl ölçtüğünüze bağlı olarak, 2023’te WordPress bugün İnternet’teki web sitelerinin %60’ına güç veriyor” diyor. “Buna giren çok sayıda kod, WordPress sitelerinde genellikle bulunan özelleştirme derecesi ve genel olarak WordPress eklenti ekosisteminin karmaşıklığı, popülerliği ve tutarlı güvenlik önlemleri ve uygulamalarının olmaması, siber suçlular için çekiciliğine katkıda bulunuyor. sömürülebilir böcekler için zengin bir avlanma alanı olarak.”
Eklenti ekosistemindeki kusurları haftalık olarak takip eden bir şirket olan iThemes, 15 Mart haftasında 6 milyondan fazla WordPress sitesini etkileyen 37 yeni ifşa edilmiş ve yamalanmış eklenti güvenlik açığını (ve bir tema güvenlik açığını) sıraladı. Ayrıca, henüz yama bulunmayan 27 eklenti güvenlik açığı (ve üç tema güvenlik açığı) sayıldı. Ve bu önemli rakamlar sıra dışı değil.
Toplamda, iThemes, 2022’de toplam 1.425 ifşa edilmiş WordPress eklentisi ve teması güvenlik açığı tespit etti ve herhangi bir haftada, 20 ila 50 ayrı eklenti ve tema, aylık ortalama 121 ayrı eklentiyle en az bir güvenlik açığı yaşadı. en az bir güvenlik açığı olan içerikler ve temalar ortaya çıkıyor.
iThemes’in raporu ayrıca, savunmasız WordPress eklentilerinin ve temalarının, WordPress sitelerinin saldırıya uğramasının 1 numaralı nedeni olduğunu belirtti.
“WordPress’in kesinlikle düzenli olarak güncellenmesi gerekiyor, özellikle de çok fazla eklenti ve üçüncü taraf kodu olan bir web siteniz varsa ve bu, güvenliğin sizin için biraz fazla zor olduğu birçok örnekten biri. aynı zamanda bir iş yürütmeye çalışan ortalama bir kullanıcı,” diye belirtiyor Ellis.
WordPress Eklenti Güvensizliğine Karşı Koruma
Balada Injector ve diğer WordPress tehditlerine karşı korunmak için, kuruluşlar her şeyden önce tüm web sitesi yazılımlarının güncel olduğundan emin olmalı, kullanılmayan eklentileri ve temaları kaldırmalı ve bir Web uygulaması güvenlik duvarı kullanmalıdır.
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, resmi indirme mağazalarından (mobil uygulama ekosistemi gibi) WordPress’e kolayca eklenti ekleme yeteneğinin güvenlik sorununu artırdığını açıklıyor. incelenmemiş modüllerin kurulması da bir zorunluluktur.
“Mevcut sayısız eklenti, bunları edinebileceğiniz birden çok yer ve dağıtım kolaylığı — kötü niyetli eklentileri kolayca dağıtmak için bir tarifiniz var” diyor.
Büyük kuruluşlar bile WordPress güvenlik sorunlarına karşı bağışık değildir. “Büyük işletmelerde bile, bir web sitesinin bireysel veya küçük bir ekip tarafından geliştirildiği ve sürdürüldüğü durumlar vardır” diyor. “Çoğu zaman, bu kişiler özellikle güvenlik bilincine sahip değildir ve sitelerini güvenli bir şekilde yapmaktansa güncel ve güncel tutmakla daha fazla ilgilenirler. Yamalar gözden kaçar. Güvenlik uyarıları gözden kaçar. Yeni ve ilginç eklentiler, emin olunmadan yüklenir. güvendeler, hatta bazen çalışıyorlar.”