Birçok kuruluş, web sitelerinde üçüncü taraf JavaScript’ten kaynaklanan risklere karşı düşündüklerinden çok daha savunmasız olabilir.
Source Defense’den yeni bir analiz, orada bir üçüncü taraf (ve hatta dördüncü taraf) komut dosyalarının yüksek yaygınlığı çoğu web sitesinde – bu, kötü niyetli kodlara gizlice girmek için kullanılabilecekleri görece kolaylık nedeniyle ilgilidir.
Tipik olarak, bir web sayfası bir üçüncü taraf komut dosyasını çağırdığında, doğrudan üçüncü tarafa ait harici bir sunucudan bir tarayıcıya yüklenir. Bu, güvenlik sağlayıcısına göre komut dosyasının çevre ve Web uygulaması güvenlik duvarları ve ağ izleme araçları gibi kontrolleri atladığı anlamına gelir. Süreç, tehdit aktörlerine, üçüncü taraf komut dosyaları aracılığıyla çevreye kötü amaçlı kod sokmanın bir yolunu sunar. Source Defense, üçüncü taraf komut dosyalarının geliştiricilerinin genellikle diğer geliştiricilerin kodlarını içermesi ve çoğu durumda başka bir geliştiriciden kod alması sorunu daha da kötüleştiriyor.
Yine de çoğu kuruluş, alışveriş sepetlerini, dinamik formları, siparişleri ve ödemeleri işlemek, sosyal medya düğmeleri sunmak, ziyaretçi takibi ve çeşitli diğer işlevleri entegre etmek için üçüncü taraf komut dosyalarını kullanır. Source Defense raporuna göre betikler, açık kaynak organizasyonları, sosyal medya şirketleri, bulut sağlayıcıları, reklam ağları ve içerik dağıtım ağları dahil olmak üzere çok sayıda kaynaktan hazır – genellikle ücretsiz – elde edilebiliyor.
Dünyanın en büyük 4.300 web sitesinin analizinde firma, her sitenin ortalama olarak 15 harici olarak oluşturulmuş komut dosyasına sahip olduğunu buldu – ortalama 12 tanesi kullanıcı bilgilerini toplamak veya siparişleri ve ödemeleri işlemek için olanlar gibi hassas sayfalarda. Source Defense’in araştırmasındaki web sitelerinin yaklaşık yarısı (%49), form girdisini alma ve kullanıcıların düğme tıklamalarını izleme işlevlerine sahip harici koda sahipti. %20’den fazlasında formları değiştirebilecek harici kod vardı. Çoğu sitenin her bir web sayfasında birden fazla komut dosyası vardı.
Source Defense, bazı sektörlerdeki kuruluşlara ait web sitelerinin diğerlerine göre ortalamadan çok daha fazla sayıda üçüncü taraf komut dosyasına sahip olduğunu buldu. Örneğin, finansal hizmetler web sitelerinin hassas sayfalarda ortalama 19 komut dosyası veya tüm sektörler genelinde ortalamanın %60 üzerinde komut dosyası vardı. Sağlık kuruluşlarında ortalama 15 tane vardı.
Düşmanlar için Cazip Bir Saldırı Vektörü
Source Defense’in CTO’su ve kurucu ortağı Hadar Blutrich, “Rakipler, işlem yapan veya hassas verileri yakalayan web sitelerinden veri hırsızlığına aşırı odaklanmaya devam ediyor” diyor.
Son yıllarda, saldırganların kullanıcı ve ödeme kartı verilerini çalmak, kullanıcıları kötü niyetli sitelere yönlendirmek, tuş vuruşlarını günlüğe kaydetmek ve çeşitli diğer kötü niyetli etkinlikleri gerçekleştirmek için üçüncü taraf komut dosyalarını manipüle ettiği veya kullandığı çok sayıda olay olmuştur. İyi bilinen bir örnek, yıllar boyunca perakende web sitelerindeki üçüncü taraf komut dosyalarına kart gözden geçirme yazılımını gizlice sokarak yüz milyonlarca ödeme kartıyla ilgili verileri çalan bir hacker topluluğu olan Magecart’tır.
Bu tür saldırıların işletmeler için büyük sonuçları olabilir. Örneğin, 2018’deki bir olayda, Magecart bilgisayar korsanları bir British Airways web sitesi sayfasına birkaç satır kod gizlice girerek yaklaşık 380.000 müşteriye ait kişisel verileri açığa çıkardı. Havayolu daha sonra olayla ilgili olarak 200 milyon dolardan fazla büyük bir para cezasına çarptırıldı.
Blutrich, “Saldırı vektörü, dünyanın en büyük siteleri için bile geniş ve açık olmaya devam ediyor ve önemli maddi kayıp riski oldukça gerçek,” diyor.
Üçüncü taraf komut dosyalarını tehlikeye atmak için, tehdit aktörleri bazen genel kod havuzlarına sızar, diye belirtiyor. Diğer durumlarda, geniş istemci ağlarına sahip olan ve bire çok saldırılar gerçekleştirmek için bu kuruluşlardan gelen komut dosyalarını tehlikeye atan kuruluşları tespit ettiklerini söylüyor. Bir örnek olarak, Blutrich bu yılın başlarında bir saldırıya işaret ediyor. gayrimenkulle ilgili 100’den fazla site ele geçirildi bir saldırıdan sonra, Sotheby’s emlak koluna ait bir siteye bir bulut-video bileşenine kötü amaçlı yazılım yerleştirdi.
Harici Komut Dosyası Riskiyle Nasıl Mücadele Edilir
Blutrich, üçüncü ve dördüncü taraf komut dosyalarından kaynaklanan riski azaltmaya yönelik kurumsal süreçlerin vadesinin değişiklik gösterme eğiliminde olduğunu belirtiyor. Bazı durumlarda gözetim yoktur: Dijital ve pazarlama ekipleri, kurumsal güvenlik ekibini dahil etmeden yeni web sitesi işlevselliğini uygulamak ve üçüncü taraflarla etkileşim kurmak için kendi başlarına hareket eder.
Bununla birlikte, “daha olgun vakalarda, dijitalin herhangi bir tedarik zinciri ortaklarını incelemek ve onaylamak için güvenlik/uyumluluk ile birlikte çalışması gereken ‘senaryo konseyleri’ olduğunu duyduk” diyor.
Blutrich, onay için dahili süreçlerden bağımsız olarak, senaryoyu yönetmek ve güvence altına almak için daha fazlasının yapılması gerektiğini söylüyor. “Siteye girdikten sonra, onaylansa bile, ortaklardan gelen iyi niyetli değişiklikler uyumluluğu tehlikeye atabilir ve açıkçası, tehdit aktörlerinden gelen kötü niyetli değişiklikler büyük veri hırsızlığı ve dolandırıcılık endişelerine yol açabilir.”