Bir tehdit aktörü, WordPress.org’da barındırılan en az beş eklentinin kaynak kodunu, bunları çalıştıran web sitelerinde yönetim ayrıcalıklarına sahip yeni hesaplar oluşturan kötü amaçlı PHP komut dosyalarını içerecek şekilde değiştirdi.
Saldırı, Wordfence Tehdit İstihbaratı ekibi tarafından dün keşfedildi ancak kötü niyetli enjeksiyonların geçen haftanın sonuna doğru, 21 Haziran ile 22 Haziran arasında gerçekleştiği görülüyor.
Wordfence ihlali fark eder etmez şirket eklenti geliştiricilerini bilgilendirdi ve bunun sonucunda çoğu ürün için yamalar dün yayınlandı.
Beş eklenti birlikte 35.000’den fazla web sitesine yüklendi:
- Social Warfare 4.4.6.4 – 4.4.7.1 (4.4.7.3 sürümünde düzeltildi)
- Blaze Widget 2.2.5 – 2.5.2 (2.5.4 sürümünde düzeltildi)
- Sarmalayıcı Bağlantı Öğesi 1.0.2 – 1.0.3 (1.0.5 sürümünde düzeltildi)
- İletişim Formu 7 Çok Adımlı Eklenti 1.0.4 – 1.0.5 (1.0.7 sürümünde düzeltildi)
- Basitçe Kancaları Göster 1.2.1 – 1.2.2 (henüz bir düzeltme mevcut değil)
Wordfence, tehdit aktörünün eklentilerin kaynak koduna nasıl erişmeyi başardığını bilmediğini ancak bununla ilgili bir soruşturma yürütüldüğünü belirtiyor.
Saldırının daha fazla sayıda WordPress eklentisini etkilemesi mümkün olsa da mevcut kanıtlar, riskin yukarıda belirtilen beş eklentiyle sınırlı olduğunu gösteriyor.
Arka kapı işlemi ve IoC’ler
Etkilenen eklentilerdeki kötü amaçlı kod, yeni yönetici hesapları oluşturmaya ve ele geçirilen web sitesine SEO spam’i eklemeye çalışır.
Wordfence, “Bu aşamada, enjekte edilen kötü amaçlı yazılımın yeni bir yönetici kullanıcı hesabı oluşturmaya çalıştığını ve ardından bu ayrıntıları saldırganın kontrolündeki sunucuya geri gönderdiğini biliyoruz” diye açıklıyor.
“Ayrıca, tehdit aktörünün, web sitesine SEO spam’i eklediği görülen web sitelerinin altbilgisine kötü amaçlı JavaScript de enjekte ettiği görülüyor.”
Veriler 94.156.79 IP adresine iletilir.[.]Araştırmacılar, keyfi olarak oluşturulan yönetici hesaplarının “Seçenekler” ve “PluginAuth” olarak adlandırıldığını söylüyor.
Bu tür hesapları veya saldırganın IP adresine yönelik trafiği fark eden web sitesi sahipleri, tam bir kötü amaçlı yazılım taraması ve temizleme işlemi gerçekleştirmelidir.
Wordfence, etkilenen eklentilerden bazılarının geçici olarak WordPress.org’dan kaldırıldığını ve bunun da kullanıcıların yamalı bir sürüm kullansalar bile uyarı almasına neden olabileceğini belirtiyor.