Siber suçlular, hacklenmiş web sitelerine erişimi yeraltı ekonomisi aracılığıyla açık bir şekilde satmaktadır. Özellikle, cPanel kimlik bilgileri büyük bir talep görmekte ve bu erişimler binlerce dolara değer biçilmektedir.
cPanel – Web Sitesine Erişim için Anahtar
cPanel, dünya genelinde en yaygın kullanılan Linux tabanlı web barındırma kontrol panellerinden biridir. Standart sistem hizmetlerinin üzerine yapılandırılmış bir yönetim katmanı sağlar ve barındırma hesapları, alan adları, e-posta hizmetleri, veritabanları, DNS bölgeleri, SSL sertifikaları ve dosya sistemleri için otomasyon arayüzü işlevi görür.
Shodan’a göre, cPanel yazılımıyla bağlantılı 1.5 milyondan fazla internet sunucusu bulunmaktadır.
Aşağıdaki ısı haritası, cPanel’in en çok ABD’de popüler olduğunu göstermektedir (1 milyondan fazla sonuç).
Hacklenmiş cPanel’ler Geniş Ölçekli Saldırılar Sağlar
Bir web siteniz olduğunu hayal edin; ister kişisel kullanım için, ister bir küçük işletme için, ya da kurumsal web varlıklarının bir parçası olarak. Bir siber suçlu, yönetim katmanına erişim sağlayan kimlik bilgilerini ele geçirdiğinde, geniş bir yetki yelpazesine sahip olurlar:
- Kalıcı bulunma için arka kapılar kurma
- Kalıcı olabilmek için yeni yönetici kullanıcıları oluşturma
- Kötü amaçlı yazılım dağıtma
- Sunucu üzerinde kök erişimi elde etme
- Meşru alan adı altında phishing kitleri dağıtma
- Hedef alan adı altında SMTP hesapları oluşturarak spam veya phishing kampanyaları yayma
- Veritabanlarından gizli verileri (Kişisel Bilgiler, sırlar) çalma ve dışarıya aktarma
Paylaşımlı barındırma ortamlarında, tek bir cPanel, birden fazla alan adına erişim sağlayabilir ve kurumsal düzeydeki bir tehdit, tüm web varlığını tehlikeye atabilir.
Saldırganlar geçerli kimlik bilgileri kullandıkları için, geleneksel güvenlik kontrolleri bu tür aktiviteleri hemen tespit edemeyebilir. Abuse, sessiz outbound e-posta gönderimleri veya gizli dosya yüklemeleri ile başlayarak görünür bir kötüye kullanıma ulaşmadan önce fark edilemeyebilir.
cPanel’lerin Hacklenmesi Çeşitli Yöntemlerle Gerçekleşir
Tarihsel olarak, siber suçlular, cPanel çevrelerine erişimi, kimlik bilgisi istismarları, web uygulaması ihlalleri ve sunucu düzeyi sömürü ile sağlamıştır.
En yaygın vektör, çalınan veya zorla elde edilen kimlik bilgileri olmuştur. Saldırganlar, phishing kampanyaları, veri ihlallerinden kaynaklanan şifre tekrarları, credential stuffing ve açığa çıkmış cPanel giriş panellerine karşı otomatik brute-force saldırılar kullanmaktadır.
Ayrıca, yanlış yapılandırmalar (açık hassas dosyalar, zayıf şifreler veya çok faktörlü kimlik doğrulamanın olmaması) bu durumu cazip hale getiren diğer bir faktördür.
Ayrıca, aynı sunucuda barındırılan zayıf web siteleri üzerinden de sıkça saldırılar gerçekleşmektedir. Örneğin, güncel olmayan CMS platformları (WordPress, Joomla, Drupal vb.), zayıf eklentiler ve temalar, saldırganların web shell yüklemesine veya yetki artırımına olanak tanıyabilir.
Hacklenmiş cPanel’ler Yeraltı Pazarlarında Popüler Bir Mal
Flare araştırmacıları, yedi günlük bir örnek inceledi ve 200.000’den fazla gönderim buldu. Gönderimlerin %90’ının kopya olduğu tespit edilmiştir.
Bu durum, yüksek dereceli bir pazarı gösteriyor; yüzlerce benzersiz gönderi, çeşitli kanallarda binlerce kez çoğaltılabiliyor.
- Kalite
- Miktar
- Fiyat
| Premium | 100 | $75 |
| Premium | 500 | $289 |
| Premium | 1,000 | $645 |
| Regular | 1,000 | $23 |
| Regular | 3,000 | $42 |
| Regular | 5,000 | $58 |
Algılama ve Azaltma
Kuruluşlar, tüm barındırma kontrol paneli hesaplarında çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmeli, güçlü ve benzersiz şifreler belirlemeli ve yönetsel erişimi mümkün olduğunca IP adresiyle sınırlamalıdır.
Outbound SMTP aktiviteleri, spam istismarını tespit etmek için sürekli izlenmeli, dosya bütünlüğü izleme yetkilisiz değişikliklerin belirlenmesine yardımcı olabilir.
Sonuç: Hesabınız Tehlikede Olabilir
Bir kuruluş için hacklenmiş bir cPanel hesabının etkisi anında ve ciddi olabilir. Saldırganların eylemleri, alan adı ve IP yasaklamasına yol açarak reputasyon kaybı ve operasyonel kesintilere neden olabilir. Daha ciddi durumlarda ise web sitesi içeriği çalınabilir, yok edilebilir veya rehin alınabilir. Bu yüzden, tüm cPanel ve barındırma hesaplarınızı düzenli olarak güncelleyin, erişim izlerini kontrol edin ve güvenlik önlemlerini artırın.
