Tehdit aktörleri, kalıcı uzaktan erişimi sürdürmek ve site ziyaretçilerini sahte sitelere yönlendirmek amacıyla kötü niyetli kodları gizlemek için WordPress sitelerinde “Mu-Plugins” dizini kullanıyor.
Mutlaka kullanılması gereken eklentiler için kısa olan Mu-Plugins, WordPress tarafından yönetici pano aracılığıyla açıkça etkinleştirilmesine gerek kalmadan otomatik olarak yürütülen özel bir dizindeki (“WP-Content/Mu-plugins”) eklentileri ifade eder. Bu aynı zamanda dizini kötü amaçlı yazılım sahnelendirmek için ideal bir konum haline getirir.
Sucuri araştırmacısı Puja Srivastava, “Bu yaklaşım, ilgili bir eğilimi temsil ediyor, çünkü Mu-plugins (zorunlu kullanımı eklentiler) standart WordPress eklenti arayüzünde listelenmediğinden, kullanıcıların rutin güvenlik kontrolleri sırasında görmezden gelmelerini daha az fark edilir ve daha kolay hale getiriyor.” söz konusu bir analizde.
Web sitesi güvenlik şirketi tarafından analiz edilen olaylarda, dizinde üç farklı Rogue PHP kodu keşfedilmiştir –
- Site ziyaretçilerini harici bir kötü amaçlı web sitesine yönlendiren “WP-Content/Mu-Plugins/Redirect.php”
- Web kabuğu benzeri işlevsellik sunan “WP-Content/Mu-Plugins/Index.php”, saldırganların uzak bir PHP komut dosyasını indirerek keyfi kod yürütmesine izin vererek Github’da barındırıldı
- “WP-Content/Mu-Plugins/Custom-js-yükleyici.php”, muhtemelen enfekte olmuş web sitesine istenmeyen spam enjekte eden, muhtemelen site içeriği ve SEO sıralamalarını manipüle etmek amacıyla ve sitedeki tüm görüntüleri açık içerikle değiştirerek ve kötü niyetli sitelere giden bağlantıları kaçırmak amacıyla
“Redirect.php”, Sucuri, kurbanları veri çalabilen veya ek yükler bırakabilecek kötü amaçlı yazılım yüklemeye kandırmak için bir web tarayıcı güncellemesi olarak maskeli atar.
Srivastava, “Senaryo, mevcut ziyaretçinin bir bot olup olmadığını tanımlayan bir işlev içeriyor.” “Bu, komut dosyasının arama motoru tarayıcılarını hariç tutmasına ve yönlendirme davranışını algılamalarını engellemesini sağlar.”
Gelişme, tehdit aktörleri devam eden kullanmak için Enfekte WordPress siteleri Web sitesi ziyaretçilerini bir Google Recaptcha veya Cloudflare captcha doğrulaması – Windows bilgisayarlarında kötü niyetli PowerShell komutlarını çalıştırmak için kandırmak için hazırlama gerekçesiyle – yaygın taktik ClickFix olarak adlandırılır – ve Lumma Stealer kötü amaçlı yazılımları teslim edin.
Hacked WordPress siteleri, kötü amaçlı JavaScript’i dağıtmak için de kullanılıyor. Ziyaretçileri yeniden yönlendir istenmeyen üçüncü taraf alanlara veya Skimmer gibi davran Ödeme sayfalarına girilen finansal bilgileri sifonlamak için.
Şu anda sitelerin nasıl ihlal edilmiş olabileceği bilinmemektedir, ancak olağan şüpheliler savunmasız eklentiler veya temalar, tehlikeye atılmış yönetici kimlik bilgileri ve sunucu yanlış yapılandırmalarıdır.
PatchTack’in yeni bir raporuna göre, tehdit aktörleri rutin olarak sömürülen Yılın başından beri WordPress eklentilerinde dört farklı güvenlik açığı –
- CVE -2024-27956 (CVSS Puanı: 9.9) – WordPress Otomatik Eklentisinde Doğrulanmamış Keyfi SQL Yürütme Güvenlik Açığı – AI İçerik Jeneratörü ve Otomatik Poster Eklentisi
- CVE- 2024-25600 (CVSS Puanı: 10.0)- Tuğla temasında kimliği doğrulanmamış bir uzaktan kod yürütme güvenlik açığı
- CVE-2024-8353 (CVSS Puanı: 10.0)-Givewp eklentisinde uzaktan kod yürütme güvenlik açığı için kimliği doğrulanmamış bir PHP nesne enjeksiyonu
- CVE-2024-4345 (CVSS Puanı: 10.0)-WordPress için StartKlar Elementor eklentilerinde kimlik doğrulanmamış keyfi bir dosya yükleme güvenlik açığı
Bu tehditlerin ortaya koyduğu riskleri azaltmak için, WordPress site sahiplerinin eklentileri ve temaları güncel tutması, kötü amaçlı yazılımların varlığı için rutin olarak denetlenmesi, güçlü şifreleri uygulamak ve bir web uygulaması güvenlik duvarını kötü niyetli isteklere dağıtması ve kod enjeksiyonlarını önlemeleri önemlidir.
