Güvenlik araştırmacıları, WordPress web sitelerini hedefleyen gelişmiş kötü amaçlı yazılımları ortaya çıkardılar ve Uzaktan Kod Yürütülmesini (RCE) etkinleştirmek için Gizli Arka Fildolardan yararlanıyorlar.
Bu saldırılar, WordPress çekirdek özellikleri ve eklentilerindeki güvenlik açıklarından yararlanır, bilgisayar korsanlarının yetkisiz erişim kazanmasına, keyfi kod yürütmesine ve tehlikeye atılan siteler üzerinde kontrolü sürdürmesine izin verir.
Bulgular, WordPress ortamlarında sağlam güvenlik önlemlerine yönelik kritik ihtiyacı vurgulamaktadır.
Kalıcı erişim için WordPress güvenlik açıklarından yararlanmak
Dikkate değer bir durum, etkinleştirme gerektirmeden her sayfa yüküne otomatik olarak eklentileri yükleyen özel bir WordPress klasörü olan Mutlaka Kullanım Eklentileri (Mu-Plugins) dizini içine kötü amaçlı komut dosyalarını yerleştiren saldırganları içeriyordu.
Bu dizine gizlenmiş PHP kodunu yerleştirerek, saldırganlar tespitten kaçarken kalıcılık sağladılar.
Kötü amaçlı kod, harici dosyalarda depolanan ek yükleri geri aldı ve yürüttü ve bilgisayar korsanlarının komutları uzaktan yürütmesini ve web sitesini daha da tehlikeye atmasını sağladı.
Kötü amaçlı yazılım, yüklerini gizlemek ve tespit tespitini gizlemek için Base64 kodlama ve AES şifreleme gibi gelişmiş gizleme tekniklerini kullanır.
Yürütüldükten sonra, ek kötü amaçlı komut dosyaları almak veya hassas veriler göndermek için harici sunucularla iletişim kurar.
Saldırganlar ayrıca işlevleri de kullanıyor eval() PHP kodunu dinamik olarak yürütmek için algılama çabalarını daha da karmaşıklaştırır.
Bir örnekte, kötü amaçlı yazılımlardan yararlandı. /wp-content/uploads/ gizlenmiş yükleri depolamak için dizin.
Bu yükler kod çözüldü ve sunucuda yürütüldü ve saldırganlara site üzerinde tam kontrol sağladı.
Ayrıca, bazı varyantlar gibi kritik dosyaları manipüle etti robots.txt Trafiği yeniden yönlendirmek veya arama motoru optimizasyonu (SEO) spam kampanyalarını geliştirmek için.
Bu tür saldırıların potansiyel sonuçları şiddetlidir:
- Tam Site Devralma: Bilgisayar korsanları içeriği değiştirebilir, kötü amaçlı komut dosyaları enjekte edebilir veya web sitelerini deface yapabilir.
- Veri hırsızlığı: Giriş kimlik bilgileri ve finansal veriler dahil hassas kullanıcı bilgileri eklenebilir.
- Kötü Yazılım Dağıtım: Meyveden çıkarılan siteler kötü amaçlı yazılım veya kimlik avı kampanyaları yaymak için kullanılabilir.
- İtibar hasarı: Ziyaretçileri yeniden yönlendirmek veya spam içeriğini enjekte etmek bir web sitesinin güvenilirliğine ve SEO sıralamalarına zarar verir.
WordPress’teki RCE güvenlik açıklarının yükselişi, güvensiz kodlama uygulamaları ve modası geçmiş yazılımlarla ilgili sistemik sorunların altını çizmektedir.
Sucuri raporları, on binlerce web sitesini sömürmeye maruz bırakarak “Bit Dosya Yöneticisi” ve “CleanTalk tarafından Güvenlik ve Kötü Yazılım Taraması” gibi popüler eklentilerde benzer güvenlik açıklarını ortaya çıkardı.
Saldırganlar, kötü niyetli kod enjekte etmek için dosya yükleme mekanizmalarında veya yetersiz giriş sterilizasyonunda kusurlardan yararlandı.
Bu tehditleri azaltmak için, WordPress site yöneticileri şunları yapmalıdır:
- WordPress Core, Eklentiler ve Temaları düzenli olarak güncelleyin.
- Kötü niyetli trafiği engellemek için güvenlik duvarları uygulayın.
- PHP yürütmeyi dizinlerde devre dışı bırakın
/uploads/. - Kötü amaçlı yazılım taraması ve izleme için Sucuri veya Malcare gibi güvenlik araçlarını kullanın.
- Yüklü eklentilerin periyodik denetimlerini yapın ve kullanılmayan veya modası geçmiş olanları kaldırın.
Bu önlemler, saldırı yüzeyini azaltmak ve WordPress ekosistemlerini hedefleyen siber tehditlere karşı korunmak için gereklidir.
PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri