Giriş
Son dönemde, siber güvenlik dünyasında önemli bir tehlike ortaya çıktı: Smart Slider 3 Pro eklentisinin güncelleme sistemi siber suçlular tarafından ele geçirildi. Bu durum, kullanıcıların sistemlerine zararlı yazılım yüklenmesiyle sonuçlandı ve kullanıcı verilerinin çalınması riski doğurdu.
Saldırı Nasıl Çalışıyor?
Siber suçlular, 3.5.1.35 versiyonlu Smart Slider 3 Pro eklentisini hedef aldı ve kötü amaçlı bir güncelleme yayımladı. Bu güncelleme, birçok arka kapı (backdoor) içeren zararlı bir yazılım barındırıyor. Analizler, bu yazılımın aşağıdaki özelliklere sahip olduğunu göstermektedir:
- Yönetici izinlerine sahip gizli bir kullanıcı hesabı oluşturması.
- Hassas verileri çalması.
- HTTP başlıkları aracılığıyla kimlik doğrulama olmadan uzaktan komut çalıştırma imkanı sağlaması.
- PHP eval ve işletim sistemi komut yürütme için ikinci bir yetkilendirilmiş arka kapı sunması.
- Şifre çalma işlemlerini otomatik olarak gerçekleştirmesi.
Bu zararlı yazılım, wp-includes dizinine sahte bir WordPress çekirdek sınıfı gibi görünen bir PHP dosyası ekleyerek kalıcılığını artırmaktadır. Ayrıca, kötü amaçlı yazılımın çalışabilmesi için WordPress veri tabanı kullanıcı bilgilerini değiştirmek yeterli değildir.
Etkilenen Sistemler
Smart Slider 3 eklentisi, 900,000’den fazla web sitesinde kullanılmaktadır. Bu nedenle, 3.5.1.35 sürümü kurulu olan kullanıcıların hemen harekete geçmesi kritik öneme sahiptir. Joomla kullanıcıları için de benzer uyarılar yapılmıştır. Zararlı kodlar, hem WordPress hem de Joomla sistemlerinde gizli yönetici hesapları oluşturabilir ve sistem bilgilerini çalabilir.
Çözüm ve Korunma
Zararlı güncellemenin dağıtım tarihi 7 Nisan olarak belirlenmiştir. Kullanıcılara en geç 5 Nisan tarihine kadar geri yükleme yapmaları önerilmektedir. Eğer yedekleme mevcut değilse, kullanıcıların aşağıdaki adımları takip etmeleri önerilir:
- Kötü niyetli kullanıcıları, dosyaları ve veri tabanı kayıtlarını silmek.
- WordPress çekirdek dosyalarını, eklentileri ve temaları güvenilir kaynaklardan yeniden yüklemek.
- Tüm kimlik bilgilerini (WP, DB, FTP/SSH, hosting, e-posta) değiştirmek.
- WordPress güvenlik anahtarlarını (salt) yenilemek.
- Kalan kötü amaçlı yazılım için tarama yapmak ve kayıtları gözden geçirmek.
Son olarak, sitenin güvenliğini artırmak için iki faktörlü kimlik doğrulama (2FA) etkinleştirmek, tüm bileşenleri güncellemek ve güçlü, benzersiz şifreler kullanmak önemlidir. Bu olay, siber güvenliğin her zamankinden daha önemli bir mesele olduğunu bir kez daha kanıtlıyor.
