100.000’den fazla web sitesinin JavaScript kodu sunmak için kullandığı alan adı artık bir kanal olarak kullanılıyor. Web tedarik zinciri saldırısı Dinamik olarak oluşturulmuş veri yüklerini kullanan, kullanıcıları pornografik ve spor bahis sitelerine yönlendiren ve potansiyel olarak veri hırsızlığına, tıklama hırsızlığına veya diğer saldırılara yol açabilen. Kötü amaçlı etkinlik, alan adı polyfill’in satışını takip ediyor[.]io’yu bu yılın başında Çinli bir kuruluşa devrettim.
Güvenlik araştırmacıları CDN’nin[.]çoklu doldurma[.]io alan adı, yaygın bir saldırıda son kullanıcılara komut dosyalarındaki kötü amaçlı kodları sunmak üzere ele geçirildi. Site, yalnızca kullanıcının tarayıcısına bağlı olarak gerekli çoklu doldurmaları ekleyerek web sitelerinin eski tarayıcılardaki modern JavaScript özelliklerini kullanmasına olanak tanır.
Güvenlik izleme firması c/side’dan araştırmacılar saldırıyla ilgili alarmı çaldı kurucu Simon Wijckmans’ın tavsiyesi site sahiplerini uyarıyorum “polyfill’in herhangi bir kullanımı için kodunuzu kontrol edin[.]io alan adını alın ve uygulamalarınızdan kaldırın.”
“Bu saldırı, tahminen 100.000’den fazla web sitesini doğrudan riske atıyor” diye yazdı. “Bir zamanlar güvenli olan bir alan adı binlerce web sitesine yerleştirildiğinde ve gizlendiğinde JavaScript tehditleri kötü niyetli aktörler için cazip bir yol haline geliyor.”
Dinamik Olarak Oluşturulan Yükler
Özellikle araştırmacılar şunu keşfettiler: kötü amaçlı, karmaşık kod “HTTP başlıklarına dayalı olarak dinamik olarak veriler üreten, yalnızca belirli mobil cihazlarda etkinleştirilen, tespitten kaçınan, yönetici kullanıcılardan kaçınan ve yürütmeyi geciktiren” cdn kullanılarak web siteleri aracılığıyla cihazlara enjekte ediliyor[.]çoklu doldurma[.]io, diye yazdı Wijckmans.
“Bazı durumlarda kullanıcılar, sahte bir Google Analytics bağlantısı içeren, değiştirilmiş JavaScript dosyaları alıyor” diye yazdı. “Bu sahte bağlantı, kullanıcıları görünüşe göre bölgelerine göre çeşitli spor bahisleri ve pornografik web sitelerine yönlendiriyor.”
Wijkmans, kötü amaçlı kodun JavaScript olduğu göz önüne alındığında, “her an form hırsızlığı, tıklama hırsızlığı ve daha geniş kapsamlı veri hırsızlığı gibi yeni saldırılara da yol açabileceğini” belirtti.
Polyfill Kullanıcıları Önceden Uyarıldı
Polyfill kullanıcıları, Şubat ayında kötü amaçlı etkinlik potansiyeli konusunda uyarılmıştı ve polyfill’i kullanmayı bırakmaları önerildi[.]io alan adı satın alındıktan sonra Funnull, Çinli bir şirket. Satışın ardından açık kaynaklı Polyfill projesinin geliştiricisi Andrew Betts, kullanıcılara şu çağrıda bulundu: X’teki bir gönderide kısmen sitenin hiçbir zaman sahibi olmadığı için içerik dağıtım ağına (CDN) yapılan referansları kaldırmak için.
“Polyfill hizmet projesini ben yarattım ancak alan adına hiçbir zaman sahip olmadım ve satışı üzerinde hiçbir etkim olmadı” diye yazdı.
Pollykill adında bir site Hatta 27 Şubat’ta büyük bir konuya farkındalık getirmek için yaratıldı. JavaScript tedarik zinciri güvenlik açığı,” çünkü Polyfill satıldı ve tüm Polyfill trafiği “Baishan Cloud CDN’ye” yönlendirildi.
Pollykill ayrıca kullanıcılara, web sitelerine JavaScript dağıtmak için siteyi kullanma konusunda alternatifler sunarak kullanıcıları “bilinmeyen bir yabancı varlığın web uygulamanız içinde JavaScript’i yönetmesine ve sunmasına izin vermenin birçok riski” konusunda uyarıyor.
Siteye göre, “Kullanıcı trafiğini sessizce gözlemleyebilirler ve kötü niyetli bir niyet varsa, kullanıcılar bilgileri Web tarayıcısına girerken doğrudan kullanıcı adlarını, şifreleri ve kredi kartı bilgilerini potansiyel olarak çalabilirler.”
Derhal Eylem Gerekiyor
Wijkmans, web sitesi komut dosyalarını ve uygulamalarda veya Web mülklerinde yaygın olarak kullanılan diğer kodları tehlikeye atan tedarik zinciri saldırılarının ciddi bir iş olduğunu, bu da Polyfill kullanan herkesin hemen harekete geçmesi gerektiği anlamına geldiğini söyledi.
“Üçüncü taraf kaynakları çok güçlü bir konumda ve dolayısıyla kötü aktörler için yüksek değerli bir hedef” diye yazdı ve şunu ekledi: Üçüncü taraf komut dosyalarını barındıran CDN’ler özellikle saldırılara maruz kalıyorlar.
Ancak Wijkmans, dikkat edilmesi gereken önemli bir noktanın “Polyfill hizmetinin kendisinin hala sağlam olmasıdır” dedi. “Kendi sürümünüzü güvenli ve kontrollü bir ortamda sorunsuz bir şekilde barındırabilirsiniz.”
Sorun cdn alan adından kaynaklanıyor[.]çoklu doldurma[.]io kullanan herhangi bir siteden derhal kaldırılmalıdır. Ayrıca Wijkmans, tehdit beslemelerinin şu anda etki alanını işaretlemediğini, dolayısıyla yöneticilerin buna güvenmemesi gerektiğini ekledi.
Polykill web sitesi ayrıca geliştiricilere, bir kuruluş içindeki tüm projelerde kaynak kodundaki kötü amaçlı etki alanının örneklerini aramak için bir kod arama aracı veya entegre geliştirme ortamı (IDE) kullanmalarını tavsiye eder. Kaynakları şu şekilde belirtir: geliştirici topluluğu Hızla Bağlan bu aynı zamanda Polyfill kullanan web sitelerinin güvenliğini sağlamalarına da yardımcı olabilir; bunlar hızlı bir şekilde çoklu doldurmayı içerir[.]net ve polyfill-hızlı bir şekilde[.]polyfill için ücretsiz değiştirmeler olan io[.]Bir web sitesinin kodunda io.
Fastly’nin çatalı açık kaynak kodu 223 kullanıcılara teslim edilen kod üzerinde tam kontrol sağlamak amacıyla hizmeti kendi kendine barındırmak için de kullanılabilir, Fastly’ye göre.