Yeni bir tedarik zinciri saldırısı, WordPress.org’da barındırılan çeşitli eklentileri etkiledi. Wordfence Tehdit İstihbaratı ekibi tarafından 24 Haziran 2024’te keşfedilen bu WordPress güvenlik açığı, başlangıçta Social Warfare eklentisini merkeze alıyordu. WordPress.org Eklenti İnceleme ekibinin bir forum gönderisine göre, eklentinin 22 Haziran 2024 gibi erken bir tarihte eklenen kötü amaçlı kodla tehlikeye atıldığı tespit edildi.
Kötü amaçlı dosyayı Social Warfare’de tespit ettikten sonra Wordfence ekibi, analiz için dosyayı derhal dahili Tehdit İstihbaratı platformuna yükledi. Daha sonra araştırmaları, aynı kötü amaçlı kodun dört ek eklentiye daha bulaştığını ortaya çıkardı.
Güvenliği ihlal edilen bu eklentiler hakkında WordPress eklenti ekibini bilgilendirme çabalarına rağmen, etkilenen eklentiler daha sonra resmi depodan kaldırılmış olsa da yanıt sınırlı kaldı.
WordPress Eklentisindeki Güvenlik Açığı Tedarik Zinciri Saldırısına Neden Oluyor
Wordfence araştırmacılarına göre tedarik zinciri saldırılarına yol açan listelenen eklentiler arasında 5 popüler isim yer alıyor. Bunlar arasında, Social Warfare’in 4.4.6.4 ila 4.4.7.1 sürümleri ele geçirildi, ancak o zamandan beri yamalı bir sürüm (4.4.7.3) yayınlandı. Blaze Widget’ın 2.2.5 ila 2.5.2 sürümleri ve Wrapper Link Element sürümleri 1.0.2 ila 1.0.3 de etkilendi ve herhangi bir yamalı sürüm bulunmuyor.
İlginç bir şekilde, kötü amaçlı kod Wrapper Link Element sürüm 1.0.0’da kaldırılmış gibi görünse de, bu sürüm virüslü olanlardan daha düşük olduğundan güncelleme sürecini karmaşık hale getiriyor. Kullanıcıların, uygun şekilde etiketlenmiş bir sürüm yayınlanana kadar eklentiyi kaldırmaları önerilir. Benzer şekilde, Contact Form 7 Multi-Step Addon’un 1.0.4 ila 1.0.5 sürümleri ve Simply Show Hooks sürüm 1.2.1 de etkilendi; her iki eklenti için de şu anda herhangi bir yamalı sürüm yayınlanmadı.
Enjekte edilen kötü amaçlı yazılımın birincil işlevi, etkilenen web sitelerinde yetkisiz yönetici kullanıcı hesapları oluşturmaya çalışmayı içerir. Bu hesaplar daha sonra hassas verileri saldırganların kontrol ettiği sunuculara sızdırmak için kullanılıyor. Ayrıca saldırganlar, güvenliği ihlal edilmiş web sitelerinin altbilgilerine kötü amaçlı JavaScript yerleştirdiler ve spam içerikli içerik sunarak SEO’yu potansiyel olarak etkilediler.
Devam Eden Soruşturma ve Kurtarma
Kötü amaçlı kodun keşfedilmesine rağmen, nispeten basit olması ve ağır bir gizleme içermemesi nedeniyle dikkat çekiyordu; bu sayede takip edilmesi daha kolay hale gelen yorumlar yer alıyordu. Saldırganların faaliyetlerine 21 Haziran 2024 gibi erken bir tarihte başladığı ve tespit edilmeden birkaç saat öncesine kadar eklentileri aktif olarak güncellediği görülüyor.
Wordfence ekibi şu anda bu eklentilerin güvenliği ihlal edilmiş sürümlerini tespit etmeyi amaçlayan kötü amaçlı yazılım imzaları geliştirmek için kapsamlı bir analiz yürütüyor. Web sitesi yöneticilerine, savunmasız eklentileri kontrol etmek ve yamalı sürümlere güncelleme yaparak ya da etkilenen eklentileri tamamen kaldırarak anında harekete geçmek için Wordfence Güvenlik Açığı Tarayıcısını kullanmalarını tavsiye ediyorlar.
Tehlikenin temel göstergeleri, saldırganların sunucusu tarafından kullanılan 94.156.79.8 IP adresini ve ‘Options’ ve ‘PluginAuth’ gibi belirli yetkisiz yönetici kullanıcı adlarını içerir. Riskleri azaltmak için yöneticilerin, yetkisiz hesapları kontrol etmek ve kapsamlı kötü amaçlı yazılım taramaları yapmak da dahil olmak üzere kapsamlı güvenlik denetimleri gerçekleştirmeleri tavsiye edilir.