Binlerce WordPress sitesi kötü amaçlı yazılım bulaşmasıyla karşı karşıya

Siber güvenlik araştırmacıları Sucuri ve PublicWWW tarafından hazırlanan bir rapora göre, bilinen bir güvenlik açığının yeterince hızlı yamanmaması nedeniyle 3.000’den fazla WordPress destekli web sitesi ele geçirildi.

Sucuri, geçtiğimiz birkaç hafta boyunca, isimsiz tehdit aktörlerinin CVE-2023-6000 olarak takip edilen bir güvenlik açığından yararlanarak insanları kötü niyetli web sitelerine yönlendirdiğini söylüyor. Siteler arası komut dosyası oluşturma (XSS) açığı olarak tanımlanan bu güvenlik açığı, geçen yıl Kasım ayında Popup Builder’ın 4.2.3 ve daha eski sürümlerinde keşfedildi.

Popup Builder, WordPress web siteleri için popüler bir eklentidir ve adından da anlaşılacağı üzere, web sitesi yöneticilerinin açılır pencereler oluşturmasına ve dağıtmasına olanak tanır. WordPress verilerine göre, şu anda Popup Builder 4.1 ve daha eski sürümlerini kullanan 80,000’den fazla web sitesi bulunmaktadır. Bir saldırıya açık olan bu eski sürümler, tehdit aktörlerinin WordPress web sitesinin içine kötü amaçlı kod yerleştirmesine olanak tanır.

Web sitesinin güvenliğini sağlama

Araştırmacılar, bu kodun ziyaretçileri kimlik avı siteleri, kötü amaçlı yazılım barındıran sayfalar ve daha fazlası gibi kötü amaçlı web sitelerine yönlendirebileceğini açıklıyor.

Sucuri, son birkaç hafta içinde 1.170 web sitesinin bu hata yoluyla ele geçirildiğini iddia ederken, PublicWWW bu rakamın yaklaşık 3.300 olduğunu belirtiyor.

Bu saldırganlara karşı savunmak için web yöneticileri birkaç şey yapabilir: Birincisi – eklentilerini güncelleyebilirler (ve güncellemelidirler). Popup Builder 4.2.7 sürümündeki açığı giderdi.

Web yöneticileri ayrıca sitelerinin kodunu eklentinin özel bölümlerinden gelen kötü amaçlı girişler için analiz etmelidir. Ayrıca, saldırganların tekrar içeri girmesini önlemek için gizli arka kapıları taramalıdırlar. Son olarak, saldırıların geldiği yer olan “ttincoming.traveltraffic[.]cc” ve “host.cloudsonicwave[.]com” alan adlarını engellemelidirler.

WordPress eklentilerine ve temalarına yönelik saldırılar yeni bir şey değildir. WordPress genellikle güvenli bir web barındırma ve tasarım platformu olarak kabul edildiğinden, tehdit aktörleri genellikle üçüncü taraf eklemelerindeki kusurları avlar.