WordPress Eklentisi Tedarik Zinciri Saldırıları Artıyor

WordPress eklentileri, eklenti koduna doğrudan erişim sağlamak için çalıntı kimlik bilgilerini (diğer veri ihlallerinden) kullanan bilgisayar korsanlarının saldırısına uğramaya devam ediyor. Bu saldırıları özellikle endişe verici kılan şey, bu tedarik zinciri saldırılarının gizlice içeri girebilmesidir, çünkü bu güvenlik açığı kullanıcılara normal bir güncelleme ile eklentiler olarak görünür.

Tedarik Zinciri Saldırısı

En yaygın güvenlik açığı, bir yazılım kusurunun, bir saldırganın kötü amaçlı kod yerleştirmesine veya başka türde bir saldırı başlatmasına izin vermesi durumunda, kusurun kodda olmasıdır. Ancak tedarik zinciri saldırısı, yazılımın kendisinin veya yazılımın bir bileşeninin (yazılım içinde kullanılan üçüncü taraf komut dosyası gibi) kötü amaçlı kodla doğrudan değiştirilmesidir. Bu, yazılımın kendisinin kötü amaçlı dosyaları teslim ettiği durumu yaratır.

Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tedarik zinciri saldırısını şu şekilde tanımlıyor (PDF):

“Yazılım tedarik zinciri saldırısı, bir siber tehdit aktörünün bir yazılım satıcısının ağına sızıp satıcı yazılımı müşterilerine göndermeden önce yazılımı tehlikeye atmak için kötü amaçlı kod kullanması durumunda meydana gelir. Güvenliği ihlal edilen yazılım daha sonra müşterinin verilerini veya sistemini tehlikeye atar.

Yeni edinilen yazılım baştan itibaren tehlikeye atılmış olabilir veya bir yama veya düzeltme gibi başka yollarla bir tehlikeye atılmış olabilir. Bu durumlarda, tehlikeye atılma yama veya düzeltmenin müşterinin ağına girmesinden önce gerçekleşir. Bu tür saldırılar tehlikeye atılmış yazılımın tüm kullanıcılarını etkiler ve hükümet, kritik altyapı ve özel sektör yazılım müşterileri için yaygın sonuçlar doğurabilir.”

WordPress eklentilerine yönelik bu özel saldırı için saldırganlar, ele geçirilen eklentiyi kullanan her web sitesinde yönetici düzeyinde kullanıcı hesapları oluşturmak amacıyla eklentilere kötü amaçlı kod eklemek için eklenti koduna doğrudan erişimi olan geliştirici hesaplarına erişim sağlamak amacıyla çalıntı parola kimlik bilgilerini kullanıyor. WordPress eklentileri.

Bugün Wordfence, ek WordPress eklentilerinin ele geçirildiğinin tespit edildiğini duyurdu. Güvenliği ihlal edilmiş veya ele geçirilecek daha fazla eklentinin olması pekala söz konusu olabilir. Bu nedenle, neler olup bittiğini anlamak ve kontrolünüz altındaki siteleri koruma konusunda proaktif olmak iyi bir şeydir.

Daha Fazla WordPress Eklentisi Saldırıya Uğradı

Wordfence, Blubrry'nin PowerPress Podcasting eklentisi adı verilen oldukça popüler bir podcasting eklentisi de dahil olmak üzere daha fazla eklentinin tehlikeye girdiğine dair bir uyarı yayınladı.

Wordfence tarafından duyurulan yeni keşfedilen tehlikeye maruz kalmış eklentiler şunlardır:

  • WP Sunucu Sağlık İstatistikleri (wp-server-stats): 1.7.6
    Yamalı Sürüm: 1.7.8
    10.000 aktif kurulum
  • Reklam Geçersiz Tıklama Koruyucusu (AICP) (reklam-geçersiz-tıklama-koruyucusu): 1.2.9
    Yamalı Sürüm: 1.2.10
    30.000+ aktif kurulum
  • Blubrry'den PowerPress Podcasting eklentisi (powerpress): 11.9.3 – 11.9.4
    Yama Sürümü: 11.9.6
    40.000+ aktif kurulum
  • Son Enfeksiyon – Seo Optimized Images (seo-optimized-images): 2.1.2
    Yama Sürümü: 2.1.4
    10.000'den fazla aktif kurulum
  • Son Enfeksiyon – Pod'lar – Özel İçerik Türleri ve Alanları (pod'lar): 3.2.2
    Yamalı Sürüm: Şu anda yama sürümüne ihtiyaç yok.
    100.000+ aktif kurulum
  • En Son Enfeksiyon – Twenty20 Görüntüsü Öncesi-Sonrası (twenty20): 1.6.2, 1.6.3, 1.5.4
    Yamalı Sürüm: Şu anda yamalı sürüme gerek yok.
    20.000+ aktif kurulum

Tehlikeye atılan eklentilerin ilk grubu şunlardır:

  • Sosyal Savaş
  • Alev Widget'ı
  • Sarmalayıcı Bağlantı Elemanı
  • İletişim Formu 7 Çok Adımlı Eklenti
  • Sadece Kancaları Göster

WordPress Eklenti Tedarik Zinciri Saldırısı hakkında daha fazla bilgiyi burada bulabilirsiniz.

Güvenliği Tehlikeye Girmiş Bir Eklenti Kullanılırsa Ne Yapılmalıdır?

Eklentilerin bazıları sorunu düzeltmek için güncellendi, ancak hepsi değil. Tehlikeye atılan eklentinin kötü amaçlı kodu kaldırmak için yamalanmış olup olmadığına ve geliştirici parolasının güncellenmiş olup olmadığına bakılmaksızın, site sahipleri WordPress web sitesine eklenmiş sahte yönetici hesapları olmadığından emin olmak için veritabanlarını kontrol etmelidir.

Saldırı, “Options” veya “PluginAuth” kullanıcı adlarına sahip yönetici hesapları oluşturur, bu nedenle dikkat edilmesi gereken kullanıcı adları bunlardır. Ancak, saldırı gelişmişse ve bilgisayar korsanları farklı yönetici hesapları kullanıyorsa, tanınmayan yeni yönetici düzeyindeki kullanıcı hesaplarını aramak muhtemelen iyi bir fikirdir.

Wordfence WordPress güvenlik eklentisinin Wordfence ücretsiz veya Pro sürümünü kullanan site sahipleri, tehlikeye atılmış bir eklenti keşfedildiğinde bilgilendirilir. Eklentinin Pro seviyesindeki kullanıcıları, enfekte olmuş eklentileri hemen tespit ettikleri için kötü amaçlı yazılım imzaları alırlar.

Bu yeni virüslü eklentilerle ilgili resmi Wordfence uyarı duyurusu şunları tavsiye ediyor:

“Bu eklentilerden herhangi birini yüklediyseniz, kurulumunuzun tehlikeye girdiğini düşünmeli ve hemen olay yanıt moduna geçmelisiniz. WordPress yönetici kullanıcı hesaplarınızı kontrol etmenizi ve yetkisiz olanları silmenizi, ayrıca Wordfence eklentisi veya Wordfence CLI ile tam bir kötü amaçlı yazılım taraması çalıştırmanızı ve kötü amaçlı kodları kaldırmanızı öneririz.

Wordfence Premium, Care ve Response kullanıcılarının yanı sıra ücretli Wordfence CLI kullanıcıları da bu kötü amaçlı yazılımı tespit etmek için kötü amaçlı yazılım imzalarına sahiptir. Wordfence ücretsiz kullanıcıları, 25 Temmuz 2024'te 30 günlük bir gecikmenin ardından aynı algılamayı alacaklardır. Eklentilerden birinin kötü amaçlı bir sürümünü çalıştırıyorsanız, Wordfence Güvenlik Açığı Tarayıcısı tarafından sitenizde bir güvenlik açığı bulunduğuna dair bildirim alacaksınız ve eklentiyi mümkün olan en kısa sürede güncellemeli veya kaldırmalısınız.”

Devamını oku:

WordPress Eklentileri Kaynağında Tehlikeye Atıldı – Tedarik Zinciri Saldırısı

WordPress.org Tedarik Zinciri Saldırısında, Geliştirici Parolalarının Ele Geçirilmesi Nedeniyle 3 Eklentiye Daha Etkilendi

Öne Çıkan Görsel Shutterstock/Moksha Labs


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir