OptinMonster ve TrustPulse Eklentilerine Yönelik CDN Tedarik Zinciri Saldırısı Milyonlarca WordPress Sitesini Risk Altına Soktu

E-ticaret güvenliği şirketi Sansec, Awesome Motive’a ait içerik dağıtım ağına (CDN) yönelik gerçekleştirilen bir tedarik zinciri saldırısının ardından OptinMonster, TrustPulse ve PushEngage kullanıcılarının hedef alındığını açıkladı. En az 1,2 milyon internet sitesi tarafından kullanılan OptinMonster’ın saldırıdan etkilenen en büyük platform olduğu belirtildi.

Sansec’in yayımladığı bulgulara göre zararlı komut dosyaları, 12 Haziran’da belirli saat aralıklarında OptinMonster ve TrustPulse kullanıcılarına dağıtıldı. PushEngage üzerinden yayılan zararlı JavaScript kodlarının ise daha uzun süre aktif kaldığı kaydedildi.

Yönetici Hesapları Hedef Alındı

Araştırmaya göre zararlı yazılım yalnızca WordPress yöneticilerinin etkilenen siteleri ziyaret etmesi durumunda devreye girdi. Saldırganların kimlik doğrulama belirteçlerini ve güvenlik anahtarlarını topladığı, ardından sahte yönetici hesapları oluşturduğu ifade edildi.

Sansec, saldırganların gizlenebilen arka kapı eklentileri yüklediğini belirterek, “Operatör, mantığı aynı tutarken eklentinin görünümünü ve adını düzenli olarak değiştiriyor.” açıklamasında bulundu.

Şirket, söz konusu zararlı eklentilerin farklı dönemlerde “Content Delivery Helper” ve “Database Optimizer” isimleriyle dağıtıldığını bildirdi.

Tam Uzaktan Erişim Yetkisi Sağlandı

Güvenlik araştırmacıları, yüklenen arka kapıların web kabuğu işlevi sunduğunu ve saldırganlara keyfi PHP kodu çalıştırma imkânı verdiğini açıkladı. Bu sayede etkilenen internet sitelerinin tamamen ele geçirilebildiği ve uzaktan yönetilebildiği aktarıldı.

Saldırganların ayrıca Tidio hizmetini taklit eden bir alan adı üzerinden iletişim kanalı kurarak ele geçirilen verileri dış sistemlere aktardığı kaydedildi.

Awesome Motive Saldırının Kaynağını Açıkladı

Awesome Motive tarafından yayımlanan güvenlik duyurusunda saldırganların, UpdraftPlus WordPress eklentisindeki bilinen bir güvenlik açığını kullanarak şirket ortamındaki bir sunucuya erişim sağladığı belirtildi.

Şirket açıklamasında, “Sunucu bir pazarlama sitesini barındırıyordu ve üretim altyapımız ya da veri sistemlerimizle bağlantılı değildi.” ifadelerine yer verildi.

Açıklamada saldırganların CDN hesabına ait kimlik bilgilerini ele geçirdiği ve bu bilgilerle CDN üzerinden dağıtılan JavaScript dosyalarını değiştirdiği belirtildi.

Awesome Motive, “Pazarlama sitesini güvenli hale getirdik, yeni bir sunucuya taşıdık ve CDN API anahtarı dahil tüm kimlik bilgilerini yeniledik.” açıklamasını yaptı.

Şirket ayrıca, “Uygulama sunucularımız, kaynak kodlarımız ve OptinMonster ile TrustPulse hesap bilgilerinin saklandığı sistemler ihlal edilmedi. Hesap verilerine veya kişisel bilgilere erişildiğine dair herhangi bir kanıt bulunmuyor.” değerlendirmesinde bulundu.

Kullanıcılara Acil Kontrol Çağrısı

Uzmanlar, site yöneticilerinin “developer_api1” veya “dev_xxxxxx” isimli şüpheli yönetici hesaplarını kontrol etmesini, wp-content/plugins dizininde gizlenmiş arka kapı eklentilerini araştırmasını ve kapsamlı zararlı yazılım taramaları gerçekleştirmesini öneriyor.

Güvenlik uzmanları ayrıca yönetici parolalarının, API anahtarlarının, veritabanı kimlik bilgilerinin ve WordPress güvenlik anahtarlarının yenilenmesi gerektiğini vurguluyor. Zararlı içerikler kaldırılmış olsa da sahte yönetici hesapları ve arka kapılar temizlenmediği sürece saldırganların erişimlerini sürdürebileceği belirtiliyor.

Kaynak: Beykozun Sesi