WordPress Eklentilerinde Tehdit: Arka Kapı ile Oluşturulan Yönetici Hesapları
Bir siber saldırgan, WordPress sitelerinde kullanılan güvenilir JavaScript dosyalarını bozarak, bu dosyaları sitelere sızmak için bir araç haline dönüştürdü. Bu durum, etkilenen kullanıcılar için ciddi güvenlik açıkları oluşturdu ve idarecilerin hesaplarına izinsiz erişim sağlandı.
Saldırı Nasıl Çalışıyor?
Bozulmuş script, normal bir sayfa görünümünde hiçbir işlem yapmamaktadır. Ancak, bir WordPress yöneticisi giriş yaptığında tetiklenmekte ve yöneticinin oturumunu kullanarak siteyi ele geçirmektedir. PushEngage, OptinMonster ve TrustPulse eklentileri ile çalışan sistemler, bu kötü amaçlı kodun bulaştığı alanlardır.
Bozulan dosyalar, pushengage-web-sdk.js ve pushengage-subscription.js gibi normal dosyalar olup, clientcdn.pushengage.com üzerinden dağıtılmıştır. Ayrıca, olayın başlangıcıyla birlikte yönetici hesabı oluşturulmakta ve yönetici üzerinde tam yetkilere sahip yeni bir hesap oluşturulmaktadır.
Bozulan sistemin bu süreçte etkilenen dosyaları arasında:
- Yönetici oturumunu kullanarak tam izinlerle işlem yapmak,
- Saldırganın kontrolünde yeni bir yönetici hesabı oluşturmak,
- Dashboard’da görünmeyen bir eklenti yüklemek,
- Yeni giriş bilgilerini sahte bir alan adına (tidio[.]cc) göndermek.
Saldırganların bu eklenti ile uzaktan komut çalıştırmalarına olanak tanıyan bir arka kapı oluşturdukları anlaşılmaktadır. Böylece, saldırganlar herhangi bir dosyayı okuyabilir, değiştirebilir ve hatta kullanıcı verilerini çalabilirler.
Etkilenen Sistemler
Saldırı sırasında, OptinMonster ve TrustPulse dosyalarının 13 Haziran itibarıyla temizlendiği bildirilirken, PushEngage‘in scriptleri bazı CDN sunucularında 14 Haziran’a kadar dayanmıştır. PushEngage tarafından yapılan açıklamalara göre, diğer sistemlerle ilgili bir sorun tespit edilmemiştir.
Sansec güvenlik firması, bu üç eklentinin 1.2 milyonun üzerinde siteye eriştiğini tahmin etmektedir. Özellikle OptinMonster, 1 milyondan fazla aktif kuruluşa sahip olmasıyla dikkat çekmektedir.
Çözüm ve Korunma
Etkilenen eklentiler kullanılarak yapılan saldırılarda sitenizi korumak için aşağıdaki adımları izlemek önemlidir:
- Bir sunucu tarafı taraması yapın. Olayın yaşandığı dönemde PushEngage , OptinMonster veya TrustPulse kullandıysanız, sunucuyu doğrudan taratmalısınız. Tarayıcı veya dashboard kontrolü, yalnızca giriş yapan yöneticilerin oturumlarına bağlı bir yüklemeyi gözden kaçırabilir.
- Dosya sistemini kontrol edin. wp-content/plugins altında “content-delivery-helper” veya “database-optimizer” adlı klasörleri arayın. Gerçek dosya sistemindeki bilgileri esas alın. Oluşturmadığınız yönetici hesaplarını silin.
- Loglarınızı kontrol edin. 12 ile 14 Haziran tarihleri arasında web sunucusu erişim loglarını inceleyerek tidio.cc’ye giden çıkış trafiğini izleyin.
- Bir şey bulduysanız, en kötü durumu varsayın. Tüm yönetici şifrelerini, API anahtarlarını, veritabanı kimlik bilgilerini ve wp-config.php içindeki gizli anahtarları değiştirin.
Etkilenen sistemlerde herhangi bir belirti bulunduktan sonra, sistem güvenliği için dikkatli olmak ve hemen aksiyon almak hayati önem taşımaktadır. Saldırganların arka kapıları ve diğer açıklar kaldığı sürece, sadece eklentiyi kaldırmak yeterli olmayabilir.
Bu nedenle, yukarıda bahsedilen adımları mutlaka uygulayarak sistemlerinizi güvence altına almalısınız.
