Son Gelişmeler ve Önemi
Son dönemde, WordPress eklentileri olan OptinMonster, TrustPulse ve PushEngage bir tedarik zinciri saldırısına maruz kaldı. Bu durum, Awesome Motive içerik dağıtım ağı (CDN) üzerinden milyonlarca web sitesini etkilemektedir.
Saldırı Nasıl Çalışıyor?
Bu saldırı, Sansec adlı siber güvenlik firması tarafından keşfedildi ve OptinMonster ile TrustPulse kullanıcılarına, 12 Haziran’da UTC 22:17 ile 22:42 arasında zararlı JavaScript kodları iletildi. Saldırının etkisi, PushEngage üzerinden de 13 Haziran’a kadar devam etti.
Malware, yalnızca bir WordPress yöneticisi enfekte olmuş bir web sayfasını ziyaret ettiğinde tetikleniyor. Bu aşamada kullanıcıdan kimlik doğrulama token’ları ve nonce’lar toplanıyor, ardından bir sahte yönetici hesabı oluşturuluyor. Saldırganlar, gizli bir arka kapı eklentisi yükleyip, Tidio taklidi yapan bir alan adına veri gönderme kanalı kuruyorlar.
Etkilenen Sistemler
Saldırganlar, ele geçirdikleri sistemde aşağıdaki dosyalara değişiklik yapmışlardır:
- a.omappapi.com/app/js/api.min.js – OptinMonster
- a.opmnstr.com/app/js/api.min.js – OptinMonster
- a.optnmstr.com/app/js/api.min.js – OptinMonster
- a.trstplse.com/app/js/api.min.js – TrustPulse
Awesome Motive, saldırının başlangıcında UpdraftPlus WordPress eklentisindeki bilinen bir açığı kullanarak sunucuya erişim sağlandığını bildirdi.
Çözüm ve Korunma
Awesome Motive, marketing web sitesini güvence altına alarak yeni bir sunucuya geçiş yaptıklarını ve bütün kimlik bilgilerini yenilediklerini açıkladı. Ancak, hala aşağıdaki önlemleri almanız kritik öneme sahiptir:
- ‘developer_api1’ veya ‘dev_xxxxxx’ adındaki sahte yönetici hesaplarını kontrol edin ve kaldırın.
- Gizli arka kapı eklentilerini wp-content/plugins altında inspect edin.
- Sunucu tarafında zararlı yazılım taramaları uygulayın.
- Yönetici şifrelerini, API anahtarlarını, veritabanı kimlik bilgilerini ve WordPress güvenlik tuzlarını yenileyin.
Zararlı içerik kaldırılmış olsa da, eğer sahte yönetici hesapları ve gizli arka kapı eklentileri hâlâ mevcutsa, saldırganların erişimi devam etmektedir.
Sonuç
Web yöneticileri, etkilenen sistemler üzerinde yukarıda belirtilen adımları bir an önce uygulamalıdır. Güncellemeleri yapmayı ve şüpheli içerikleri kontrol etmeyi ihmal etmeyin. Ayrıca, bu tür saldırılara karşı sistemlerinizi daha güvenli hale getirmek için siber güvenlik önlemlerinizi gözden geçirmeniz önemlidir.
