Bugün Wikimedia Foundation, kendiliğinden yayılan bir JavaScript solucanı nedeniyle bir güvenlik olayı yaşadı. Bu olay, birçok wiki üzerinde sayfaların vandalizmasına ve kullanıcı scriptlerinin değiştirilmesine yol açtı.
Olayın Tanımı
Wikimedia’nın Phabricator *issue tracker*ına göre, olayın başlangıcı, Rusça Vikipedi’de barındırılan kötü niyetli bir scriptin çalıştırılmasıyla gerçekleşti. Söz konusu durum, Wikipedia’daki küresel bir JavaScript dosyasının kötü niyetli kod ile değiştirilmesine neden oldu.
Kötü niyetli script, User:Ololoshka562/test.js adresinde depolandı. Bu script, ilk kez Mart 2024’te yüklendi ve önceki saldırılarda kullanılan scriptlerle ilişkilendirildiği iddia ediliyor.
Saldırı Nasıl Çalışıyor?
BleepingComputer tarafından incelenen düzenleme geçmişlerine göre, scriptin ilk kez bir Wikimedia çalışanı tarafından kullanıcı scripti işlevselliğini test ederken çalıştırıldığı düşünülüyor. Scriptin, kasıtlı mı yoksa kazara mı yüklendiği veya ele geçirilmiş bir hesap tarafından tetiklenip tetiklenmediği henüz bilinmemektedir.
Script, aşağıdaki yöntemlerle kendini yaymaktadır:
- Kullanıcı düzeyinde kalıcılık: Giriş yapmış bir kullanıcının User:
/common.js dosyasını, her kullanıcı Wikipedia’ya giriş yaptığında test.js scriptini otomatik yükleyecek şekilde değiştirmeye çalışmaktadır. - Site genelinde kalıcılık: Kullanıcının yeterli yetkilere sahip olması durumunda, MediaWiki:Common.js dosyasını düzenleyerek, bu scriptin her editör tarafından çalıştırılmasına sebep olmaktadır.
Bu durumda, global scriptin başarılı bir şekilde değiştirilmesiyle, bu scripti yükleyen herkes otomatik olarak yükleyici scripti yürütecek ve kendi common.js dosyalarını da enfekte edecektir.
Etkilenen Sistemler
Wikimedia tarafından yürütülen analizlere göre, bu güvenlik olayı sırasında yaklaşık 3,996 sayfanın değiştirilmiş olduğu ve yaklaşık 85 kullanıcının common.js dosyalarının değiştirildiği tespit edilmiştir. Silinen sayfaların sayısı bilinmemektedir.
Olayın yayılmasının ardından, mühendisler, kötü niyetli değişiklikleri geri almak ve enjekte edilen scriptlere başvuruları kaldırmak amacıyla tüm projelerde düzenlemeleri geçici olarak kısıtladılar.
Eylem sırasında, Wikimedia çalışanları ayrıca platformdaki birçok kullanıcının common.js dosyalarını geri almışlardır. Bu değiştirilen sayfalar artık değişiklik kayıtlarında görünmemektedir.
Çözüm ve Korunma
Olayın yazıldığı sırada, enjekte edilen kod kaldırılmış ve düzenleme işlemleri yeniden mümkün olmuştur. Ancak, Wikimedia, nasıl gerçekleştirildiğine dair detaylı bir olay sonrası raporu henüz yayınlamamıştır.
Bu tür olayların tekrar yaşanmaması için önerilen önlemler:
- Kullanıcı scriptlerini sadece güvenilir kaynaklardan yükleyin.
- Hesap güvenliğinizi artırın, şifrelerinizi güçlü ve karmaşık tutun.
- Güvenlik güncellemelerini düzenli olarak yapın.
- Tanımadığınız veya şüpheli scriptleri kesinlikle çalıştırmayın.
Sonuç
Wikimedia olayını takip etmekte ve gerekli önlemleri almakta devam etmelidir. Kullanıcılara ise önerim, hemen hesap güvenliklerini gözden geçirip güncellemelerini sağlamalarıdır. Şüpheli aktiviteleri bildirmekten çekinmeyin ve potansiyel olarak zararlı içerikleri yüklemekten kaçının.
