Polyfill tedarik zinciri saldırısı haberi ikinci gününe girerken iddialar, karşı iddialar, web sitesi kapatmaları, yönlendirmeler ve DDoS saldırıları öne çıkanlar (veya öne çıkanlar) arasında yer aldı.
Polyfill(.)io’nun kayıt şirketi Namecheap tarafından kapatılmasının ardından, güvenliği ihlal edildiği iddia edilen JavaScript CDN hizmeti Polyfill(.)com’da yeniden başlatıldı ve “kötü niyetli olarak iftira atıldığını” iddia etti.
Bu arada, tedarik zinciri ihlalini ilk bildiren araştırmacılar bir DDoS saldırısına maruz kalırken, birçok güvenlik araştırmacısı, bu kadar yaygın kullanılan bir web bileşeninin ilk başta bir Çinli şirkete nasıl satılabildiğini merak etti.
Potansiyel olarak bugüne kadarki en büyük dijital tedarik zinciri saldırısı olma özelliği taşıyan saldırıdaki son gelişmeler şöyle: CDN aracılığıyla dağıtılan kötü amaçlı yazılımın tam kapsamı bilinmemekle birlikte, ilk tahminler 100.000’den fazla web sitesinin bu hizmeti kullandığı yönündeydi.
Ancak Cloudflare CEO’su Matthew Prince, X ile ilgili bir gönderide şunları söyledi: “On milyonlarca web sitesi (web’in %4’ü) Polyfill(.)io kullanıyor. Polyfill kullanan herhangi bir siteyi etkileyen son derece endişe verici kötü amaçlı yazılımlar keşfedildi.” Ayrıca Cloudflare’in Polyfill bağlantılarını otomatik olarak kendi aynasıyla değiştirdiğini söyledi.
Polyfill Tedarik Zinciri Saldırısının Kapsamı Bilinmiyor, Ancak Kullanıcılar Arasında Önemli İsimler Var
Cdn(.)polyfill(.)io aramalarında ortaya çıkan en büyük isimlerden bazıları arasında Intuit, JSTOR, Dünya Ekonomik Forumu, Coldwell Banker emlak sitesi, Brandeis Üniversitesi gibi önemli eğitim siteleri, teknik standartlar organizasyonu ASTM, İrlanda Bankası, İspanya ve Birleşik Krallık için Live Nation siteleri, RAINN cinsel şiddet karşıtı kuruluş, veri yönetimi sağlayıcısı AvePoint, yatırım şirketi MSCI, endüstriyel ağ şirketi Moxa, Çevre Savunma Fonu ve Dubai Havalimanları Şirketi.
Polyfill tedarik zinciri saldırısının kapsamı bir süre daha bilinmeyebilir. Şubat ayında Çinli bir şirket Polyfill alan adını ve Github hesabını satın aldı ve anlaşmayla ilgili endişeler hemen ortaya çıktı.
İlk olarak iki gün önce tehdidi kamuoyuna açıklayan Sansec araştırmacıları, satın alma işleminden bu yana “bu etki alanının, cdn.polyfill.io’yu yerleştiren herhangi bir site aracılığıyla mobil cihazlara kötü amaçlı yazılım enjekte ederken yakalandığını” belirtti. Tüm şikayetler Github deposundan hızla kaldırıldı.
Araştırmacılar çoklu doldurma kodunun HTTP başlıklarına göre dinamik olarak oluşturulduğunu, dolayısıyla birden fazla saldırı vektörünün muhtemel olduğunu söyledi. Sansec, mobil kullanıcıları sahte bir Google analiz alanı (googie-anaiytics(.)com) kullanarak bir spor bahis sitesine yönlendiren belirli bir kötü amaçlı yazılım türünün kodunu çözdü.
Araştırmacılar, ilk raporlarını yayınladıktan sonra bir DDoS saldırısına uğradıklarını söyledi.
Google, Haziran Ortasında Reklamları Engellemeye Başladı
Tehdidin ne kadar süredir bilindiği belli değil. Tehdit araştırmacılarının, etkilenen taraflar güvenlik açıklarını düzeltme şansına sahip olana kadar bulgularını açıklamayı beklemesi standart bir uygulamadır. Ancak görünüşe göre Google, googie-anaiytics alanına bağlantı veren reklamları reddediyor. en azından haziran ortasından beri.
Google, reklamverenlere yazdığı bir mektupta, reddedilen reklamlar için “Polyfill.io, Bootcss.com, Bootcdn.net veya Staticfile.org dahil birkaç farklı üçüncü taraf web kaynağı sağlayıcısından” gelen yönlendirmelerden bahsetti.
Cloudflare Tarafından Hızla Ayarlanan Azaltmalar
Tedarik zinciri riskini azaltmak için Cloudflare, Cloudflare tarafından proxylenen bir web sitesinde bulunan polyfill(.)io bağlantısına, cdnjs altında şirketin aynasına giden bir bağlantıya yeniden yazacak bir otomatik JavaScript URL yeniden yazma hizmeti yayınladı. Cloudflare ayrıca Polyfill’in web sitesinde Cloudflare adını ve logosunu yanlışlıkla kötüye kullandığını da iddia etti.
CDN’yi satmadan önce ücretsiz olarak barındıran Fastly, Polyfill açık kaynak projesini temel alan alternatif bir hizmet de kurmuştu.
Polyfill hizmet projesini oluşturan geliştirici Andrew Betts, Şubat ayındaki satış sırasında bir X gönderisinde “Günümüzde hiçbir web sitesi polyfill’lerden herhangi birine ihtiyaç duymaz. polyfill.io kütüphane. Web platformuna eklenen özelliklerin çoğu, Web Serial ve Web Bluetooth gibi genellikle çoklu doldurulamayan bazı istisnalar dışında, tüm büyük tarayıcılar tarafından hızla benimsenir..”
Polyfill Sahibi Yanıtlıyor
Polyfill(.)io sahipleri, kötü amaçlı yazılım suçlamalarına yanıt vermek için X’e başvurdu. Polyfill_Global hesabına yapılan bir gönderide, “Birisi bize kötü niyetle iftira attı” dedi. “Tüm içerik statik olarak önbelleğe alındığından tedarik zinciri riskimiz yok. Üçüncü tarafların herhangi bir şekilde dahil olması, web sitenize potansiyel riskler getirebilir, ancak kendi itibarımızı tehlikeye atacağından hiç kimse bunu yapmaz.”
Cyber Express, bu hikaye geliştikçe okuyucuları güncellemeye devam edecek.