Yaygın bir tedarik zinciri saldırısı, JSTOR, Intuit ve Dünya Ekonomik Forumu gibi önemli platformlar da dahil olmak üzere 100.000’den fazla web sitesini vurdu. Saldırı, eski tarayıcıları destekleyen popüler açık kaynaklı kütüphane Polyfill.js’yi taklit eden sahte bir alan adından kaynaklanıyor.
Şubat ayında Çinli Funnull şirketi, projeyle ilişkili alan adını ve GitHub hesabını satın aldı ve bu, cdn.polyfill.io’yu içeren sitelere kötü amaçlı yazılımların enjekte edilmesine yol açtı. Kötü amaçlı kod, mobil kullanıcıları sahte bir Google Analytics alanı kullanarak spor bahis sitelerine veya pornografik sitelere yönlendirmek için tasarlandı.
Kötü Amaçlı Polyfill Enjeksiyonu ve Etkisi
Araştırmacılar, enjekte edilen kötü amaçlı yazılımın HTTP başlıklarına göre dinamik olarak oluşturulduğunu ve bu durumun tespit edilmesini zorlaştırdığını belirtti. Polyfill enjeksiyon saldırısı, yaygın olarak kullanılan bir kütüphaneye yönelik tedarik zinciri saldırısının klasik bir örneğidir.
Güvenliği ihlal edilen Polyfill kodu, potansiyel olarak birden fazla saldırı vektörünü kullanarak HTTP üstbilgilerine dayalı olarak dinamik olarak kötü amaçlı yazılım üretir. Sansec’ten araştırmacılar, mobil kullanıcıları sahte bir Google Analytics alanı kullanarak bir spor bahis sitesine yönlendiren bir varyantın kodunu çözdü. Kötü amaçlı yazılım, tespit edilmekten kaçınmak için tersine mühendisliğe karşı gelişmiş teknikler ve savunmalar kullanır:
- Yalnızca belirli mobil cihazlarda belirli saatlerde etkinleştiriliyor
- Bir yönetici kullanıcı tespit edildiğinde yürütmenin önlenmesi
- Web analizi hizmetleri mevcut olduğunda etkinleştirmeyi geciktirme
Google’ın polyfill.io kullanan e-ticaret siteleri için Google Ads’i zaten engellemesi nedeniyle saldırının kapsamı oldukça büyük. Araştırmacılar daha sonra kampanyayı rapor ettikten sonra altyapılarının DDoS saldırılarına maruz kaldığını bildirdi.
Azaltma ve Öneriler
Orijinal Polyfill yazarı Andrew Betts, modern tarayıcıların artık buna ihtiyaç duymadığını belirterek, Polyfill kullanımına tamamen karşı tavsiyede bulunmak için X’e başvurdu. Projenin satışı üzerinde hiçbir etkisinin olmadığını ve yeni alan adının hiçbir zaman sahibi olmadığını ekledi ve üçüncü taraf komut dosyaları sunan web sitelerinin büyük bir güvenlik sorunu olduğu konusunda uyardı.
Uzmanlar, projenin tehlikeye atılmasına karşı uyarıda bulunmak için bir alan adı (polykill.io) oluşturdular ve web sitesi sahiplerine aşağıdaki adımları öneriyorlar:
- Derhal ve kullanımını kaldırın cdn.polyfill.io web sitelerinden ve projelerden.
- Fastly ve CloudFlare tarafından sunulanlar gibi güvenli bir alternatifle değiştirin. Fastly, Funnull’a satılmadan önce projenin kod tabanının önceki bir sürümünü (https://polyfill-fastly.io/) kaydetti ve barındırdı.
Web sitesi, projenin devralınmasıyla ilgili riskler konusunda uyardı:
“Bilinmeyen bir yabancı varlığın web uygulamanızda JavaScript’i yönetmesine ve sunmasına izin vermenin birçok riski vardır. Kullanıcı trafiğini sessizce gözlemleyebilirler ve eğer kötü niyetli bir niyet varsa, kullanıcılar bilgileri web tarayıcısına girerken potansiyel olarak kullanıcı adlarını, şifreleri ve kredi kartı bilgilerini doğrudan çalabilirler.”
CloudFlare, alan adlarının ele geçirilmesiyle ilgili endişelere yanıt olarak bulgularını ve önerilerini de yayınlamıştı. Şirket bir blog makalesinde şunları belirtti:
Endişeler, orijinal polyfill.io alanına bağlantı yerleştiren herhangi bir web sitesinin, tedarik zinciri saldırısı riskini önlemek amacıyla temel projenin bakımı ve güvenliğinin sağlanması için artık Funnull’a güveneceği yönünde. Böyle bir saldırı, temeldeki üçüncü tarafın güvenliği ihlal edilirse veya son kullanıcılara sunulan kodu kötü niyetli bir şekilde değiştirirse meydana gelir ve sonuç olarak, aracı kullanan tüm web sitelerinin güvenliğinin ihlal edilmesine neden olur.”
Bu olay, harici kod kitaplıklarına/üçüncü taraf komut dosyalarına güvenmenin güvenlik açısından doğuracağı sonuçların ve web sitesi bütünlüğünü koruma konusunda dikkatli olmanın öneminin yanı sıra, büyük çapta dağıtılan projelerin potansiyel kötü niyetli olarak ele geçirilmesinin açık bir hatırlatıcısıdır.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.