Yeni bir kötü amaçlı yazılım kampanyasından kaynaklanan saldırılarda yakın zamanda yaşanan artış, WordPress eklentisi Popup Builder'daki bilinen bir güvenlik açığından yararlanarak 3.300'den fazla web sitesine XSS saldırıları bulaştırdı.
Ocak ayında keşfedilen yeni bir Balada Injector kampanyası, CVSS taban puanı 8,8 olan, CVE-2023-6000 olarak takip edilen bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığından yararlandı.
Sucuri'ye göre, son üç hafta içinde 4.2.3 ve önceki sürümlerde aynı Popup Builder güvenlik açığından yararlanmayı amaçlayan devam eden kötü amaçlı yazılım kampanyasından kaynaklanan saldırılarda bir artış fark ettiler.
Sucuri'nin kendi SiteCheck uzaktan kötü amaçlı yazılım taramasıyla 1.170'den fazla web sitesinde bu enfeksiyon tespit edildi.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
Bu saldırılar için kullanılan alanlar, 12 Şubat 2024'te, yani bir aydan kısa bir süre önce kaydedildi:
- ttincoming.traveltraffic[.]cc
- host.cloudsonicwave[.]iletişim
Sucuri, Cyber Security ile şunları paylaştı: “Saldırganlar, WordPress yönetici arayüzünün Özel JS veya CSS bölümünde dahili olarak wp_postmeta veritabanı tablosunda depolanan kötü amaçlı kodları enjekte etmek için Popup Builder WordPress eklentisindeki bilinen bir güvenlik açığından yararlanıyor.” Haberler.
Bu enjeksiyonlar, sgpb-ShouldOpen, sgpb-ShouldClose, sgpb-WillOpen, sgpbDidOpen, sgpbWillClose, sgpb-DidClose dahil olmak üzere çeşitli Popup Builder olaylarını yönetir.
Olaylar, resmi web sitesindeki açılır pencere görüntüleme prosedürü sırasında çeşitli noktalarda meydana gelir.
.webp)
Bazen “hxxp://ttincoming.traveltraffic[.]cc/?traffic” URL'si, “contact-form-7” açılır penceresi için yönlendirme-url parametresi olarak enjekte ediliyor.
Araştırmacılar şu anda bu kampanyanın enjeksiyonlarını kötü amaçlı yazılım olarak mı tespit ediyor?pbuilder_injection.1.x.
.webp)
Azaltma
Düzeltme eki uygulanmamış bir Popup Builder eklentisinin sahibiyseniz, güvenlik açığı bulunan eklentiyi güncelleyin veya sanal olarak yama uygulamak için bir web uygulaması güvenlik duvarı kullanın.
Neyse ki bu zararlı enjeksiyonu ortadan kaldırmak çok zor değil. WordPress yönetici arayüzündeki Popup Builder'ın “Özel JS veya CSS” alanı aracılığıyla kaldırılabilir.
Araştırmacılar, “Yeniden bulaşmayı önlemek için, herhangi bir gizli web sitesi arka kapısını bulmak için web sitenizi istemci ve sunucu düzeyinde taramak isteyeceksiniz” dedi.
Bu son kötü amaçlı yazılım kampanyası, yamalı ve güncel web sitesi yazılımını sürdürmemenin tehlikeleri konusunda açıkça uyarıyor.
Web sitesi sahiplerinin tüm yazılım ve bileşen yükseltmelerini en yeni güvenlik yamalarıyla sürdürmeleri önemle tavsiye edilir.
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.