380.000’den fazla web barındırıcısının, kötü amaçlı bir etki alanına bağlantı veren, tehlikeye atılmış bir Polyfill.io JavaScript betiği yerleştirdiği tespit edildi.
Bu tedarik zinciri saldırısı, web geliştirme topluluğunda şok etkisi yarattı ve yaygın olarak kullanılan açık kaynaklı kütüphanelerin barındırdığı güvenlik açıklarını gözler önüne serdi.
Eski web tarayıcılarına modern işlevler sunmak için tasarlanmış popüler bir araç olan Polyfill.js, bu karmaşık saldırının hedefi oldu.
Şubat 2024’te Polyfill.io’nun alan adı ve GitHub hesabı Çinli bir CDN şirketi olan Funnull tarafından satın alındı.
Bu satın alma, hizmetin meşruiyeti konusunda anında endişeleri gündeme getirdi.
Bu endişeler, cdn.polyfill.io üzerinden enjekte edilen kötü amaçlı yazılımın kullanıcıları kötü amaçlı sitelere yönlendirmeye başlamasıyla doğrulandı.
JSTOR, Intuit ve Dünya Ekonomik Forumu gibi önemli platformların da etkilenenler arasında olması, bu ihlalin yaygın etkisini gözler önüne serdi.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
Saldırının Ölçeği
Siber güvenlik firması Censys’e göre, 384.773 ana bilgisayarın “https://cdn.polyfill” adresine referanslar içerdiği bulundu[.]io” veya “https://cdn.polyfill[.]HTTP yanıtlarında “com” ifadesini kullanın.
Bu ev sahiplerinin önemli bir kısmı, yaklaşık 237.700’ü, Almanya’daki Hetzner şebekesinde yer almaktadır.
Hetzner’in web geliştiricileri arasındaki popülerliği göz önüne alındığında bu şaşırtıcı değil.
Yapılan detaylı analizler Warner Bros, Hulu, Mercedes-Benz ve Pearson gibi büyük şirketlerin çok sayıda kötü amaçlı Polyfill uç noktasına referans veren ana bilgisayara sahip olduğunu ortaya koydu.
İlginçtir ki, bu sunucularla ilişkilendirilen en yaygın sunucu adı ns-static-assets.s3.amazonaws.com idi ve bu, Amazon S3 statik web sitesi barındırma kullanıcıları arasında yaygın bir kullanım olduğunu gösteriyordu.
Etkilenen sunucular arasında “www.feedthefuture.gov” gibi hükümet alan adlarının bulunması, saldırının çeşitli sektörlere yayıldığını gösteriyor.
Censys, “.gov” alan adını görüntüleyen 182 etkilenen ana bilgisayarı gözlemledi.
Sektörün Tepkisi ve Azaltma Çabaları
Saldırıya çok sayıda şirketten hızlı yanıt geldi.
Cloudflare ve Fastly, kullanıcılara tehditleri azaltırken web sitelerinin bozulmasını önlemek için alternatif, güvenli uç noktalar sundu.
Google, Polyfill.io kullanan e-ticaret sitelerinin reklamlarını engelledi, web sitesi engelleyici uBlock Origin ise alan adını filtre listesine ekledi.
Polyfill.io’nun orijinal yaratıcısı Andrew Betts, web sitesi sahiplerinden kütüphaneyi derhal kaldırmalarını talep ederek, modern tarayıcılar için artık gerekli olmadığını vurguladı.
Polyfill.io’nun alan adı kayıt kuruluşu Namecheap, kötü niyetli alan adını kaldırarak anlık tehdidi hafifletti.
Ancak bu olay, açık kaynaklı projelere yönelik tedarik zinciri saldırılarının giderek artan tehdidini çarpıcı bir şekilde hatırlatıyor.
Açık kaynak ekosistemindeki birbirine bağlı bağımlılıklar, tek bir tehlikeye maruz kalan paketin çok geniş kapsamlı güvenlik etkilerine yol açabileceği anlamına geliyor.
Kötü Amaçlı Alan Adını Araştırmak
Kötü amaçlı Polyfill’e yönelik daha fazla araştırma[.]io alan adı hakkında endişe verici ek detaylar ortaya çıktı.
Geçmiş DNS kayıtları, etki alanını 5f52353c.u.fn03.vip, cdn.polyfill.io.bsclink.cn ve wildcard.polyfill.io.bsclink.cn de dahil olmak üzere birkaç şüpheli etki alanıyla ilişkilendirdi.
Bu alan adları LEGEND DYNASTY PTE tarafından barındırıldı. LTD., Singapur merkezli bir şirkettir.
İlginçtir ki, Polyfill GitHub deposunun bakıcıları, depo içerisinde Cloudflare API sırlarını sızdırmıştı.
Bu sızıntı aynı hesaba bağlı dört ek etkin etki alanını ortaya çıkardı: bootcdn[.]net, önyüklemecss[.]com, statik dosya[.]net ve statik dosya[.]org.
Bu alan adlarından biri olan bootcss[.]com’un Haziran 2023’ten bu yana benzer kötü amaçlı faaliyetlerde bulunduğu gözlemlendi.
Kötü amaçlı Polyfill JavaScript kodunun analizi, kullanıcının mobil cihaz kullanıp kullanmadığını kontrol eden check_tiaozhuan() adlı bir fonksiyonu ortaya çıkardı.
Eğer öyleyse, çeşitli koşullara dayalı bir değer ayarlar. Daha sonra belirtilen bir URL’den bir JavaScript dosyası yükleyen başka bir işlevi çağırır ve potansiyel olarak kullanıcının tarayıcısını başka bir sayfaya yönlendirir.
Bu taktik, Polyfill.io saldırısında kullanılan yöntemlerle oldukça benzerdir.
Polyfill.io tedarik zinciri saldırısı, web geliştirme ekosisteminin doğasında var olan güvenlik açıklarının çarpıcı bir hatırlatıcısıdır.
Geliştiriciler açık kaynaklı paketlerden oluşan çeşitli bir teknoloji yığınına güvendikçe, bu bağımlılıkların güvenliği hayati önem kazanıyor.
Bu olay, bu tür karmaşık saldırılara karşı dikkatli olunması ve güçlü güvenlik önlemlerinin alınması gerektiğini bir kez daha ortaya koyuyor.
Web geliştirme topluluğu bu ihlalin sonuçlarıyla boğuşurken, öğrenilen derslerin açık kaynaklı projelerin güvenliğini sağlamaya yönelik gelecekteki yaklaşımları şekillendireceği açıktır.
Sektörün, modern dünyamızın temelini oluşturan dijital altyapıyı korumak için iş birliğine ve yenilik yapmaya devam etmesi gerekiyor.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files