BT güvenliği araştırmacıları, WordPress eklentileri OptinMonster, TrustPulse ve muhtemelen PushEngage'e yönelik aktif bir tedarik zinciri saldırısı konusunda uyarıyor. Saldırganlar, savunmasız WordPress örneklerine arka kapılar yüklemek için güvenlik açıklarından yararlanır. 1,2 milyon web sitesinin risk altında olduğuna inanılıyor.
Duyurudan sonra devamını okuyun
Sansec'in yazarlarının analizlerinde yazdıkları budur. Awesome Motive üreticisinin OptinMonster, TrustPulse ve PushEngage eklentilerine yönelik bir tedarik zinciri saldırısı keşfettiler. Saldırganlar, Awesome Motive tarafından sunulan yasal dosyalara kötü amaçlı JavaScript yerleştirdi. Bu dosyalar daha sonra müşteri web sitelerine yerleştirilir. Kötü amaçlı JavaScript, yöneticinin oturum açmasını bekler, ardından bir arka kapı yönetici hesabı oluşturur ve eklenti olarak gizli bir arka kapı yükler; diğer yaklaşımlarda ise ayaklarını sabit tutuyor. Yeni giriş verilerini normal “tidio.com” sitesini taklit eden “tidio.cc” alanına gönderin. Kampanya 12 Haziran 2026 Cuma gününden itibaren aktiftir.
Saldırganlar, başarıyla saldırıya uğrayan örnekler üzerinde tam kontrol sahibi olduklarından, diğer sık ziyaretçi hesapları da kötüye kullanılabilir. Awesome Motive diğer popüler WordPress eklentilerini satıyor. Sansec şu ana kadar yalnızca üç kötü amaçlı yazılım tespit etmiş olsa da, diğer eklentilerin kullanıcılarının dikkatli olması ve sistemlerini herhangi bir güvenlik ihlali göstergesine (IOC) karşı izlemesi gerekiyor. Sansec, OptinMonster eklentisinin tek başına bir milyondan fazla yüklemeye sahip olduğunu açıklıyor. Ancak altı milyondan fazla kuruluma sahip WPForms, All-in-One-SEO (üç milyon kurulum) veya MonsterInsights (yaklaşık iki milyon kurulum) bile potansiyel olarak saldırganların hedefi haline gelebilir.
Gözlemlenen saldırılar
Sansec'e göre Patchstack'taki BT güvenlik araştırmacıları tespitler oluşturdu ve Pazar ve Pazartesi günleri 13 sitede yüzlerce saldırı girişimini hızla keşfetti. Awesome Motive eklentilerini kullanan herkes analizde belirtilen IOC'lere göz atmalıdır.
Şimdi Awesome Motive de tepki gösterdi ve saldırganların içerik dağıtım ağına erişmeyi ve dolayısıyla ona erişmeyi başardıklarını yazdı. Müşteri web sitelerine ürün dağıtan JavaScript'in değiştirilmiş bir sürümünü enjekte etmek için bunu kullandılar. Sınırlı bir süre için komut dosyası, değiştirilen dosyayı doğrudan CDN'den teslim etti. Awesome Motive, OptinMonster ve TrustPulse hesap bilgilerini saklayan uygulama sunucularının, kaynak kodunun ve sistemlerin bağımsız olarak barındırıldığını ve güvenliğinin ihlal edilmediğini vurguluyor.
Bu uzlaşma daha sonra pazarlama web sitesiyle ve orada saklanan bir CDN API anahtarı aracılığıyla CDN hesabıyla sınırlıydı. Değiştirilen yazılım 12 Haziran 2026'da birkaç saatliğine dağıtıldı. Komut dosyasını yükleyen ve yöneticilerin zaman dilimi içinde oturum açtığı web sitelerinin güvenliği ihlal edildi. Sağlayıcı daha sonra etkilenen bireylerin sistemlerini nasıl tekrar temizleyebilecekleri konusunda yardım sağlar.
Duyurudan sonra devamını okuyun
WordPress eklentilerindeki güvenlik kusurları genellikle saldırganların sistemleri ele geçirmesi için bir giriş noktası görevi görür. Mayıs ayı başlarında WordPress eklentisi Breeze Cache'e yönelik saldırılar gözlemlendi. Ancak şu anda meydana gelene benzer tedarik zinciri saldırıları şu ana kadar nadir görülüyor.
(Bilmiyorum)
Bir yanıt yazın