Bir tehdit aktörü veya aktörleri tehlikeye girdi çoklu eklentiler Saldırganlara yönetici ayrıcalıkları vermenin yanı sıra daha fazla kötü amaçlı etkinlik gerçekleştirmeyi amaçlayan kodla WordPress.org sitesinde.
WordPress.org’un Eklenti İnceleme ekibi Pazartesi günü kullanıcıları bir eklentinin çağrıldığı konusunda uyardı. Sosyal Savaş Bir forum gönderisine göre, kötü amaçlı kod bulaşmış. Gönderiyi fark ettikten sonra, Wordfence araştırmacıları biraz takip yaptı ve birkaç tane daha WordPress.org olduğunu keşfetti. eklentiler göre aynı kod enjekte edildi bir blog yazısı Wordfence tarafından 24 Haziran’da yayınlandı.
Social Warfare’in 4.4.6.4 ve 4.4.7.1 sürümlerine ek olarak etkilenen eklentiler şunları içerir: Alev Widget’ı v2.2.5 ila 2.5.2; Sarmalayıcı Bağlantı Elemanı v1.0.2 ila 1.0.3; İletişim Formu 7 Çok Adımlı Eklenti v1.0.4 ila 1.0.5; Ve Basitçe Kancaları Göster v1.2.1.
Eklentiler arasında Social Warfare (sosyal medya temalı bir teklif) 30.000’den fazla kurulumla en fazla kuruluma sahiptir; geri kalanı en fazla yüzlerce kişiye ulaştı. Yine de hepsinde aynı kötü amaçlı kodun bulunması, Wordfence’e göre daha büyük bir tedarik zinciri saldırısı girişimine işaret ettiği için alarm zillerinin çalmasına neden olmalı.
Social Warfare’e 4.4.7.3 sürümünde yama uygulandı; ancak bu eklenti ve etkilenen tüm eklentiler listeden kaldırıldı ve en azından geçici olarak indirilemiyor; ancak WordPress.org, Wordfence’in keşfiyle ilgili iletişime geçtiğinde yanıt vermedi.
Diğer eklentilerin hiçbirinin şu anda yamalı bir sürümü yoktur; ancak Wordfence’e göre birisi, kötü amaçlı kodu Wrapper Link Element’ten 1.0.0 olarak etiketlenen ve virüslü sürümlerden daha düşük olan güncel bir sürümde kaldırdı ve bu nedenle kullanıcıların güncelleme yapmasını zorlaştırabilir.
Kötü Amaçlı Davranış
Wordfence tehdit istihbaratı lideri Chloe Chamberland, gönderisinde, eklentilere enjekte edilen kötü amaçlı kodun “yeni bir yönetici kullanıcı hesabı oluşturmaya çalıştığını ve ardından bu ayrıntıları 94.156.79.8 adresinde bulunan saldırgan tarafından kontrol edilen sunucuya geri gönderdiğini” yazdı. Kampanyanın ayrıca web sitelerinin altbilgilerine kötü amaçlı JavaScript enjekte etmek ve bunların tamamına SEO spam’i eklemek için eklentileri kullandığını söyledi.
Chamberland, “Enjekte edilen kötü amaçlı kod çok karmaşık veya çok karmaşık değil ve takip etmeyi kolaylaştıran yorumlar içeriyor” diye ekledi.
Saldırının kaynağı muhtemelen 21 Haziran’dı ve saldırganlar, WordFence’in saldırıyla ilgili 24 Haziran’daki gönderisini yayınlamasından yaklaşık beş saat önce hâlâ eklentileri güncelliyorlardı. Araştırmacılar hâlâ enfeksiyonun nasıl başladığını tam olarak bilmiyorlar ve bir saldırı gerçekleştiriyorlar. Takip edilecek güncellemelerle daha derin analizler yapılacağını söyledi.
WordPress Eklentileri Yoluyla Saldırıları Azaltma
Web siteleri için temel olarak yaygın kullanımı nedeniyle, WordPress platformu ve eklentileri özellikle tehdit aktörleri için son derece popüler bir hedeftir ve onlara geniş bir saldırı yüzeyine kolay erişim sağlar. Tipik olarak saldırganlar hedef alır. tekil eklentiler geniş kurulum tabanlarıyla; ancak yeni saldırı, Wordfence’e göre saldırganların artık kötü amaçlı kampanyaların etkisini genişletmek için birden fazla eklenti üzerinden daha iddialı tedarik zinciri saldırılarıyla karşı karşıya olabileceğini gösteriyor.
Böyle bir saldırı daha fazla dikkat gerektirdiğinden, güvenliğine odaklanan Wordfence WordPress platformu — güvenliği ihlal edilmiş bu eklentilerin tespitini sağlamak için bir dizi kötü amaçlı yazılım imzası üzerinde aktif olarak çalışıyor. Bu arada Chamberland, eklentilerden herhangi birini kullanan herkesin bunları herhangi bir web sitesinden derhal kaldırması ve “olay-müdahale moduna geçmesi” gerektiğini söyledi.
Kötü amaçlı kodları kaldırmak için “WordPress yönetici kullanıcı hesaplarınızı kontrol etmenizi ve yetkisiz olanları silmenizi ve ayrıca tam bir kötü amaçlı yazılım taraması yapmanızı öneririz” dedi.
Wordfence ayrıca, WordPress yöneticilerinin kampanyanın kanıtlarını tanımlamak için kullanabileceği, saldırgan tarafından kontrol edilen yönetici hesaplarıyla ilişkili bilinen kullanıcı adları da dahil olmak üzere çeşitli güvenlik ihlali göstergelerini (IoC’ler) de gönderiye dahil etti. Ayrıca, WordPress tabanlı web sitelerinin kötü amaçlı kodlardan nasıl temizleneceğine dair tavsiyeler sağlayan bir kılavuzun bağlantısı da dahildir.