Binlerce WordPress sitesini kullanan onlarca eklentide keşfedilen arka kapı keşfedildi. Yeni bir şirket tarafından satın alınan eklentilerin kötü amaçlı yazılımlar dağıttığı belirtiliyor.
Geçtiğimiz hafta Anchor Hosting kurucusu Austin Ginder’ın uyarısıyla gündeme gelen önemli bir güvenlik olayı, yaygın olarak kullanılan açık kaynaklı web blog yazılımı WordPress için geliştirilen onlarca eklentiyi etkiledi. Essential Plugin firmasına ait bu WordPress eklentilerinde keşfedilen bir arka kapı, binlerce web sitesine kötü amaçlı kod dağıtmak için kullanıldı.
Söz konusu eklentiler, yeni bir şirket tarafından satın alındıktan kısa bir süre sonra kaynak kodlarına sızdırılan bu arka kapı sayesinde çevrimdışı duruma getirildi ve siber güvenlik uzmanlarını harekete geçirdi. Saldırının, eklentilerin yeni sahipleri tarafından geçtiğimiz yıl yerleştirildiği ve bu ayın başlarında aktifleştiği belirtiliyor.
- Essential Plugin’e ait onlarca WordPress eklentisinin, yeni bir şirket tarafından satın alınmasının ardından kaynak kodlarına arka kapı yerleştirildiği belirlendi.
- Bu arka kapılar aracılığıyla, 20.000’den fazla aktif WordPress kurulumunda kötü amaçlı kodların dağıtıldığı tespit edildi.
- Söz konusu kötü amaçlı eklentiler, WordPress dizininden kalıcı olarak kaldırıldı ve kullanıcıların bunları sistemlerinden silmeleri gerektiği bildirildi.
- WordPress kullanıcıları, eklenti sahipliği değişiklikleri hakkında bilgilendirilmedikleri için benzer saldırılara açık durumda bulunuyor.
Eklentiler Nasıl Satın Alındı ve Saldırı Geliştirildi
Austin Ginder, geçen hafta yayınladığı bir blog yazısında, Essential Plugin adlı bir WordPress eklenti geliştiricisinin geçen yıl bir şirket tarafından satın alındığını ve bu satın almanın ardından eklentilerin kaynak koduna bir arka kapı yerleştirildiğini detaylandırdı. Bu arka kapı, bu ayın başlarına kadar pasif kaldıktan sonra aktifleşerek yüklü olduğu tüm web sitelerine kötü amaçlı kod dağıtmaya başladı.
Essential Plugin’in web sitesinde 400.000’den fazla eklenti kurulumu ve 15.000’den fazla müşterisi olduğu belirtilirken, WordPress’in kendi eklenti sayfası, etkilenen eklentilerin 20.000’den fazla aktif WordPress kurulumunda kullanıldığını gösteriyor.
Bu olay, eklenti satın alımlarının ardından kötü niyetli yazılımların dağıtılabileceği ciddi bir tedarik zinciri saldırısı riskini ortaya koydu.
Eklenti Sahipliği Değişiklikleri Kullanıcılara Bildirilmiyor
WordPress tabanlı web sitelerinin sahipleri, eklentiler aracılığıyla sitelerinin işlevselliğini genişletebilmektedir. Ancak bu durum, eklentilere kurulumlarına erişim izni vermekte ve bu web sitelerini kötü amaçlı uzantılara ve potansiyel güvenlik açıklarına maruz bırakabilmektedir.
Ginder, WordPress kullanıcılarının herhangi bir eklentinin sahiplik değişikliği hakkında bilgilendirilmemesinin, yeni sahipler tarafından gerçekleştirilebilecek olası ele geçirme saldırılarına karşı kullanıcıları savunmasız bıraktığını vurguladı.
Ginder’a göre, bu, son birkaç hafta içinde keşfedilen ikinci WordPress eklentisi ele geçirme vakasıdır. Güvenlik araştırmacıları, kötü niyetli aktörlerin yazılımları satın alıp kodlarını değiştirerek dünya genelinde çok sayıda bilgisayarı ele geçirme riskleri konusunda uzun süredir uyarılar yapmaktadırlar. Bu tür saldırılar, geniş bir kullanıcı tabanına sahip yazılımlar için büyük bir tehdit oluşturmaktadır.
Kötü Amaçlı Eklentiler WordPress Dizininden Kaldırıldı
Söz konusu WordPress eklentileri, WordPress dizininden kaldırıldı ve artık kalıcı olarak kapatılmış olarak listeleniyor. Ancak Ginder, WordPress sahiplerini, kötü amaçlı eklentilerden herhangi birinin hala yüklü olup olmadığını kontrol etmeleri ve bunları hemen kaldırmaları konusunda uyardı.
Ginder, etkilenen eklentilerin bir listesini blog yazısında paylaştı. Essential Plugin temsilcileri, konuyla ilgili yorum taleplerine henüz yanıt vermedi.
Kullanıcıların, güvenliklerini sağlamak adına eklenti listelerini gözden geçirmeleri ve şüpheli veya listedeki eklentileri derhal kaldırmaları büyük önem taşıyor.
