Giriş
Son zamanlarda yapılan bir siber saldırı, siber suçluların operasyonlarını, kullandıkları yöntemleri ve hedef aldıkları 1,4 milyon web sitesini ifşa etti. Bu durum, güncel güvenlik önlemlerinin önemini bir kez daha gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Saldırı, WP-SHELLSTORM adı verilen bir operasyon tarafından gerçekleştirildi. Bu siber suç grubu, web sitelerine geniş çapta sızarak her birine gizli bir arka kapı (webshell) yerleştiriyor ve ardından bu erişimi satışa sunuyor. Özellikle, eski sürüm eklentilere sahip WordPress siteleri hedef alındı. Önemli zafiyetler ise:
- Breeze önbellek eklentisi: CVE-2026-3844
- Joomla JCE editörü: CVE-2026-48907
Etkilenen Sistemler
Araştırmalar, saldırının otomatik tarayıcılar kullanılarak yapıldığını; bu tarayıcıların, FOFA gibi veri madenciliği yapan arama motorlarından elde edilen hedef listeleri vasıtasıyla çalıştığını gösteriyor. Toplamda 27 farklı zafiyet üzerinden sızma gerçekleştirildi, ancak en fazla başarı elde edilen zafiyet Breeze eklentisiydi.
Çözüm ve Korunma
Eğer WordPress veya Joomla kullanıyorsanız, hemen aşağıdaki adımları takip edin:
- WordPress ve Joomla için: Breeze eklentisini CVE-2026-3844 (2.4.5 sürümünde düzeltilmiştir) güncelleyin. Joomla JCE zayıflığı (CVE-2026-48907, 2.9.99.5 ile düzeltilmiştir) acil bir şekilde ele alınmalıdır.
- Diğer eklentileri kontrol edin: ThemeREX Addons (CVE-2026-1969), Simple File List (CVE-2020-36847), Custom CSS JS PHP (CVE-2026-6433) ve daha fazlası.
- Nacos: 2.2.1 veya daha yeni bir sürüme yükseltin ve kimlik doğrulamayı etkinleştirin (nacos.core.auth.enabled=true).
- XXL-Job ve Spring Boot: kimlik doğrulaması gerektirmeyen yürütücü uç noktaları kapatın ve üretim ortamında /actuator/heapdump’ı devre dışı bırakın.
- Geri kapıları arayın: ekibin webshell dosya adı kalıplarını (örneğin .bd.php, .wp-log.php) arayın ve herhangi bir [kworker/X:Y] adlı işlemi kontrol edin. Gerçek bir çekirdek iş parçacığı, kendi programına sahip olamaz.
Sonuç
Bu tür saldırılara maruz kalmamak için sistemlerinizi güncelleyin ve güvenlik önlemlerinizi güçlendirin. Önerilen zafiyetleri kapatmak ve portları kapatmak, siber suçluların erişimini engelleyecektir. Mevcut zafiyetleri göz önünde bulundurarak gerekli önlemleri almayı ihmal etmeyin.


