Son siber saldırılarda, bilgisayar korsanları çeşitli WordPress eklentilerinde depolanan siteler arası komut dosyası oluşturma (XSS) güvenlik açıklarından aktif olarak yararlanıyor.
Fastly raporlarına göre, CVE-2024-2194, CVE-2023-6961 ve CVE-2023-40000 olarak tanımlanan bu güvenlik açıkları, yetersiz giriş temizleme ve çıkış kaçışı nedeniyle hedefleniyor ve saldırganların kötü amaçlı komut dosyaları eklemesine olanak tanıyor.
Güvenlik Açığı Ayrıntıları
WP İstatistik eklentisi (sürüm 14.5 ve öncesi), URL arama parametresi aracılığıyla depolanan siteler arası komut dosyası çalıştırmaya karşı savunmasızdır.
utm_id=">
Bu güvenlik açığı, kimliği doğrulanmamış saldırganların URL arama parametresi aracılığıyla rastgele web komut dosyaları eklemesine olanak tanır.
All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo
Bu komut dosyaları, kullanıcı enjekte edilen bir sayfaya eriştiğinde yürütülür.
Saldırgan, en çok ziyaret edilen sayfalarda görünmesini sağlamak için bu yükü içeren istekleri tekrar tekrar gönderir ve bu isteklere “utm_id” parametresini ekler.
- Açıklama Tarihi: 11 Mart 2024
- Tarafından keşfedildi: Tim Coen
- Aktif Kurulumlar: 600.000’den fazla
- Etkilenen Sürümler: 14.5’ten düşük sürümler, eklentiyi kullanan tüm web sitelerinin yaklaşık %48’inde etkin kalır.
WP Meta SEO eklentisi (sürüm 4.5.12 ve öncesi), Referer HTTP başlığı yoluyla depolanan siteler arası komut dosyası saldırılarına karşı hassastır.
Referer:
Saldırgan bu veriyi hedef siteye, özellikle de 404 yanıtı üreten bir sayfaya gönderir.
WP Meta SEO eklentisi, yönlendirmeleri izlemek için bu temizlenmemiş başlığı veritabanına ekler.
Bir yönetici 404 ve Yönlendirmeler sayfasını yüklediğinde, komut dosyası gizlenmiş JavaScript’i geri arama alanından çeker ve kurbanın tarayıcısında çalıştırır.
- Açıklama Tarihi: 16 Nisan 2024
- Tarafından keşfedildi: CERT PL’den Krzysztof Zając
- Aktif Kurulumlar: 20.000’den fazla
- Etkilenen Sürümler: 4.5’tan düşük sürümler, eklentiyi kullanan tüm web sitelerinin yaklaşık %27’sinde etkin kalır.
WordPress’in LiteSpeed Cache eklentisi (sürüm 5.7.0.1 ve öncesi), ‘nameservers’ ve ‘_msg’ parametreleri aracılığıyla depolanan siteler arası komut dosyalarına karşı savunmasızdır.
result[_msg]=
XSS güvenlik açığı, bir yönetici herhangi bir arka uç sayfasına eriştiğinde tetiklenir, çünkü XSS yükü bir yönetici bildirimi olarak gizlenir ve kötü amaçlı komut dosyasının sonraki kötü amaçlı eylemler için kimlik bilgilerini kullanarak yürütülmesine neden olur.
- Açıklama Tarihi: Şubat 2024
- Tarafından keşfedildi: Yama yığını
- Aktif Kurulumlar: 5 milyondan fazla
- Etkilenen Sürümler: 5.7’den düşük sürümler, eklentiyi kullanan tüm web sitelerinin %15,7’sinde etkin kalıyor.
JavaScript Kötü Amaçlı Yazılım
Kötü amaçlı JavaScript’in içeriği aşağıdaki eylemleri gerçekleştirir:
- Kötü Amaçlı PHP Arka Kapılarını Enjekte Eder:
- Eklenti dosyalarına
- Tema dosyalarına
- Yeni bir Yönetici Hesabı oluşturur:
- Yeni bir yönetici hesabı oluşturmak için sunucunun WordPress kurulumuna bir istek gönderir
- Yandex aracılığıyla izlemeyi JavaScript veya izleme pikseli aracılığıyla uygular
Kötü amaçlı PHP aşağıdakileri gerçekleştirir:
- Tekrar tekrar wp-loads.php dosyasını arar ve aşağıdakileri wp-config.php dosyasına enjekte eder:
- Yeni bir WordPress yönetici kullanıcısı oluşturur:
- Kullanıcı adı: admin
- Şifre: 7F9SzCnS6g3AFLAO39Ro
- E-posta: admim@mystiqueapi[.]iletişim
hxxp://ur.mystiqueapi[.]com/?ur=<$_SERVER['HTTP_HOST']>
Tehdit Aktörü Etkinliği
CVE-2024-2194
Media.cdnstaticjs alanı[.]com, CVE-2024-2194’ün kullanılmasıyla bağlantılıdır.
Bu güvenlik açığını hedef alan, öncelikle AS202425 (IP Volume Inc.) ve AS210848 (Telkom Internet LTD) kaynaklı, saldırıların yoğun olarak Hollanda’dan geldiği 17 farklı IP adresinden saldırılar gözlemledik.
CVE-2023-6961
alan adı idc.cloudiync[.]com, CVE-2023-6961’in kullanılmasıyla bağlantılıdır.
Bugüne kadar, AS202425 (IP Volume Inc.) otonom sisteminden kaynaklanan tek bir IP adresinden 5 milyardan fazla istek bu güvenlik açığından yararlanmaya çalıştı.
Ayrıca 16 Mayıs’tan bu yana media.cdnstaticjs’i gözlemledik.[.]com bu güvenlik açığını hedef alan saldırı yüklerinde kullanılıyor. Bu alan aynı zamanda CVE-2024-2194’ü hedef alan saldırılarda da kullanılıyor.
CVE-2023-40000
Cloud.cdndynamic alanları[.]com, go.kcloudinc[.]com ve cdn.mediajsdelivery[.]com’un CVE-2023-40000’in kullanılmasıyla ilişkili olduğu ortaya çıktı.
cdn.mediajsdelivery alanı kullanılarak gözlemlenen son saldırı[.]com 15 Nisan’daydı. O zamandan beri yalnızca cloud.cdndynamic’i gördük[.]com ve go.kcloudinc[.]com bu güvenlik açığını hedef alan saldırılarda kullanılıyor.
Önceki iki güvenlik açığından farklı olarak, CVE-2023-40000’den yararlanan saldırılar, farklı IP adresleri ve otonom sistemler (AS) arasında daha fazla dağıtılmaktadır.
Başta AS210848 (Telkom Internet LTD) ve AS202425 (IP Volume Inc.) olmak üzere 1664 farklı IP adresinden saldırılar gözlemledik.
Saldırıların önemli bir yoğunluğu Hollanda’dan geldi.
asset.scontentflow alanı[.]com, CVE-2023-6961’in kamuya açıklanmasından kısa bir süre sonra kaydedildi ve bu, idc.cloudiync’ten gelen verilerdeki virüslü sitelere yazılan birincil alan adıdır.[.]com.
Aramalarımıza göre bu veriyi içeren web sayfaları minimum düzeyde, bu da bu veriyle şu ana kadar sınırlı bir enfeksiyon başarısına işaret ediyor.
Etki alanı önbelleği.cloudswiftcdn[.]com, üç CVE’nin tamamı halka açıklanmadan önce tescil edildi.
Bu alana referansla gözlemlenen veriler, gözlemlenen diğer verilerle benzer şekilde yapılandırılmıştır ancak arka kapı girişiminde bulunmak için 40’tan fazla ek tema ekler.
PublicWWW’deki aramalara göre bu komut dosyasını içeren 3000’den fazla sayfa var.
Bu, daha önceki kayıt süresiyle birleştiğinde, daha uzun bir kullanım süresine veya enfeksiyon süresine işaret edebilir.
Uzlaşma Göstergeleri (IOC’ler)
Alanlar
media.cdnstaticjs[.]com
cloud.cdndynamic[.]com
idc.cloudiync[.]com
cdn.mediajsdelivery[.]com
go.kcloudinc[.]com
assets.scontentflow[.]com
cache.cloudswiftcdn[.]com
IP Adresleri
80.82.76[.]214
31.43.191[.]220
94.102.51[.]144
94.102.51[.]95
91.223.82[.]150
185.7.33[.]129
101.99.75[.]178
94.242.61[.]217
80.82.78[.]133
111.90.150[.]154
103.155.93[.]120
185.100.87[.]144
185.162.130[.]23
101.99.75[.]215
111.90.150[.]123
103.155.93[.]244
185.209.162[.]247
179.43.172[.]148
185.159.82[.]103
185.247.226[.]37
185.165.169[.]62
Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.