Tehdit aktörleri, kalıcı uzaktan erişimi sürdürmek ve site ziyaretçilerini sahte sitelere yönlendirmek amacıyla kötü niyetli kodları gizlemek için WordPress sitelerinde “Mu-Plugins” dizini kullanıyor.
Mutlaka kullanılması gereken eklentiler için kısa olan Mu-Plugins, WordPress tarafından yönetici pano aracılığıyla açıkça etkinleştirilmesine gerek kalmadan otomatik olarak yürütülen özel bir dizindeki (“WP-Content/Mu-plugins”) eklentileri ifade eder. Bu aynı zamanda dizini kötü amaçlı yazılım sahnelendirmek için ideal bir konum haline getirir.
Sucuri araştırmacısı Puja Srivastava bir analizde, “Bu yaklaşım, Mu-Plugins (zorunlu kullanılması gereken eklentiler) standart WordPress eklenti arayüzünde listelenmediğinden, kullanıcıların rutin güvenlik kontrolleri sırasında görmezden gelmelerini daha az fark edilir ve daha kolay hale getirmediğinden, ilgili bir eğilimi temsil ediyor.” Dedi.
Web sitesi güvenlik şirketi tarafından analiz edilen olaylarda, dizinde üç farklı Rogue PHP kodu keşfedilmiştir –
- Site ziyaretçilerini harici bir kötü amaçlı web sitesine yönlendiren “WP-Content/Mu-Plugins/Redirect.php”
- Web kabuğu benzeri işlevsellik sunan “WP-Content/Mu-Plugins/index.php”, GitHub’da barındırılan uzak bir PHP komut dosyasını indirerek keyfi kod yürütmesine izin veren
- “WP-Content/Mu-Plugins/Custom-js-yükleyici.php”, muhtemelen enfekte olmuş web sitesine istenmeyen spam enjekte eden, muhtemelen site içeriği ve SEO sıralamalarını manipüle etmek amacıyla ve sitedeki tüm görüntüleri açık içerikle değiştirerek ve kötü niyetli sitelere giden bağlantıları kaçırmak amacıyla
“Redirect.php”, Sucuri, kurbanları veri çalabilen veya ek yükler bırakabilecek kötü amaçlı yazılım yüklemeye kandırmak için bir web tarayıcı güncellemesi olarak maskeli atar.
Srivastava, “Senaryo, mevcut ziyaretçinin bir bot olup olmadığını tanımlayan bir işlev içeriyor.” “Bu, komut dosyasının arama motoru tarayıcılarını hariç tutmasına ve yönlendirme davranışını algılamalarını engellemesini sağlar.”
Geliştirme, tehdit aktörlerinin, web sitesi ziyaretçilerini bir Google Recaptcha veya Cloudflare captcha doğrulaması – ClickFix – ClickFix adlı yaygın bir taktik – ve lumma çalma kötü eşyalarını sunan Windows bilgisayarlarında kötü niyetli PowerShell komutlarını çalıştırmak için evreleme alanı olarak kullanmaya devam ettikçe geliyor.
Hacklenmiş WordPress siteleri, ziyaretçileri istenmeyen üçüncü taraf alanlarına yönlendirebilen veya ödeme sayfalarına girilen finansal bilgilere sıyırıcı görevi görebilen kötü amaçlı JavaScript dağıtmak için de kullanılmaktadır.
Şu anda sitelerin nasıl ihlal edilmiş olabileceği bilinmemektedir, ancak olağan şüpheliler savunmasız eklentiler veya temalar, tehlikeye atılmış yönetici kimlik bilgileri ve sunucu yanlış yapılandırmalarıdır.
PatchTack’ten yeni bir rapora göre, tehdit aktörleri yılın başından beri dört farklı güvenlik açığından rutin olarak sömürdü –
- CVE -2024-27956 (CVSS Puanı: 9.9) – WordPress Otomatik Eklentisinde Doğrulanmamış Keyfi SQL Yürütme Güvenlik Açığı – AI İçerik Jeneratörü ve Otomatik Poster Eklentisi
- CVE- 2024-25600 (CVSS Puanı: 10.0)- Tuğla temasında kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığı
- CVE-2024-8353 (CVSS Puanı: 10.0)-Givewp eklentisinde uzaktan kod yürütme güvenlik açığı için kimliği doğrulanmamış bir PHP nesne enjeksiyonu
- CVE-2024-4345 (CVSS Puanı: 10.0)-WordPress için StartKlar Elementor eklentilerinde kimlik doğrulanmamış keyfi bir dosya yükleme güvenlik açığı
Bu tehditlerin ortaya koyduğu riskleri azaltmak için, WordPress site sahiplerinin eklentileri ve temaları güncel tutması, kötü amaçlı yazılımların varlığı için rutin olarak denetlenmesi, güçlü şifreleri uygulamak ve bir web uygulaması güvenlik duvarını kötü niyetli isteklere dağıtması ve kod enjeksiyonlarını önlemeleri önemlidir.