• Anasayfa
  • Nesne
  • Kılavuz
  • WP Sitelerinde 20'den Fazla CMS Hatasından Yararlanan Yeni Linux Kötü Amaçlı Yazılımı

WP Sitelerinde 20'den Fazla CMS Hatasından Yararlanan Yeni Linux Kötü Amaçlı Yazılımı

Yayınlanan: 2023-02-06

Linux platformunda çalışan web sitelerinin WordPress temaları ve eklentilerindeki güvenlik açıklarından yararlanan yeni Linux kötü amaçlı yazılımı ortaya çıktı. Web sitesinin kaynak kodunu hedeflemek için Javascript çalıştıran kötü amaçlı yazılım, siber suçluların DDoS saldırıları başlatmasına, hassas verilere erişmesine ve kullanıcıları kötü amaçlı web sitelerine yönlendirmesine yardımcı olabilir.

Bu makale, bu yeni Linux kötü amaçlı yazılımına kapsamlı bir genel bakış sunacak, nasıl çalıştığını, yararlanılabilecek CMS kusurlarını ve böyle bir saldırıyı önlemek için neler yapılabileceğini tartışacaktır.

Linux Kötü Amaçlı Yazılım Saldırısı Nedir?

Günümüzün bulut ortamlarının çoğu, bir Linux işletim sistemine dayanmaktadır. Bu nedenle, doğrudan Linux kullanan web sunucularını hedef alan siber saldırılar artıyor. Siber suçlular, bir Linux ortamına başarıyla sızarak bir dizi hassas veriye erişebilir, kötü amaçlı yazılım çalıştırabilir ve potansiyel olarak BT altyapısına uzun vadeli zarar verebilir.

Yeni Linux Kötü Amaçlı Yazılımı bulundu
Linux kötü amaçlı yazılım uyarısı

2020'den bu yana, trojan virüsleri ve fidye yazılımları, Linux tabanlı kötü amaçlı yazılım saldırılarının en yaygın biçimleri olmuştur.

En son WordPress CMS kusurları gibi güvenlik açıkları, güvenliği ihlal edilmiş ağlara sahiptir. Diğer güvenlik açıkları, bir ağda kimlik doğrulama eksikliği veya sunucunun yanlış yapılandırılmasını içerir. Ne yazık ki, bu tür saldırılar son yıllarda oldukça başarılı oldu ve daha karmaşık ve çeşitli hale geliyor ve siber güvenlik ekipleri için baş ağrısına neden oluyor.

Linux Kötü Amaçlı Yazılım Saldırılarının Türleri

Bir tehdit aktörünün kötü amaçlı yazılım saldırısı gerçekleştirmesinin birçok farklı yolu vardır. Aşağıda en yaygın türlerden bazıları verilmiştir.

Sanal makine görüntülerini hedefleyen kötü amaçlı yazılım

Kötü amaçlı yazılım, yetenekli siber suçlular tarafından etkileyici bir şekilde düşünülmüş saldırılarla hedef alınan yeni güvenlik açıkları bularak sürekli olarak gelişmektedir. Bu tür bir saldırı, iş yüklerini işlemek için kullanılan Sanal Makine (VM) görüntülerini hedeflemeyi içerir.

Bunu yaparak, tehdit aktörleri bulutta barındırılan değerli kaynaklara erişim sağlayarak ortalığı kasıp kavurmalarına olanak sağlayabilir.

Kripto hırsızlığı

Cryptojacking, kripto para birimi oluşturmak için kurbanın BT kaynaklarını kullanan siber suçlular için çok kazançlı olabilir. Tesla gibi küresel şirketler bile böyle bir saldırının kurbanı oldu.

Cryptojacking kötü amaçlı yazılımı, gelişmiş güvenliğe sahip olmayan sistemlerden yararlanarak bilgisayar korsanlarının sistemleri ele geçirmesine ve kurban pahasına kripto madenciliği yapmasına olanak tanır.

Dosyasız Linux saldırıları

Bilgisayar korsanları, Golang tarafından yazılan açık kaynaklı Ezuri aracını kullanarak kötü amaçlı yazılımları şifreleyebilir, ihlal edilmiş bir ağda şifresini çözebilir ve sistem diskinde hiçbir iz bırakmayabilir. Bu, kötü amaçlı yazılımın virüsten koruma yazılımını atlamasına izin verir.

Siber suçlu grubu TeamTNT, bu tekniği yaygın olarak kullanır. Büyük kuruluşlar için bunun aşırı sonuçları olabilir ve uyumluluk düzenlemelerini ihlal edebilir. Bu tür saldırılara karşı koruma sağlamak, PCI uyumluluğunu sağlamada ve diğer düzenleyici yönergelere bağlı kalmada uzun bir yol kat edebilir.

PCI Uyumluluk açıklaması
PCI Uyumluluğunu Açıklar

Devlet destekli kötü amaçlı yazılım

Ulus-devlet grupları Linux ortamlarına yönelik saldırılarını artırıyor ve bu özellikle Rusya-Ukrayna savaşında belirgin. Bu kötü amaçlı yazılım saldırılarının temel amacı, iletişimi bozmak ve verileri yok etmektir.

WP Web Siteleri Yeni Linux Kötü Amaçlı Yazılımları Tarafından Nasıl Hedef Alınıyor?

Daha önce siber güvenlik uzmanları tarafından bilinmeyen yeni bir Linux kötü amaçlı yazılım türü, WordPress web sitelerini veya daha doğrusu yirmiden fazla eklenti ve temayı hedefliyor.

Rus güvenlik satıcısı Doctor Web, bu yeni tehdidi analiz ederek olası güvenlik açıklarını vurguladı. Yakın tarihli bir raporda Doctor Web'den bir temsilci, "Siteler bu tür eklentilerin eski sürümlerini kullanıyorsa, önemli düzeltmeler yoksa, hedeflenen web sayfalarına kötü amaçlı JavaScript'ler enjekte edilir. Sonuç olarak, kullanıcılar saldırıya uğrayan bir sayfanın herhangi bir alanına tıkladıklarında başka sitelere yönlendiriliyorlar.”

Saldırılar, kötü amaçlı yazılım dağıtmak için savunmasız eklentilere ve temalara sahip belirli web sitelerini hedefler. Bu, siber suçluların uzaktan erişime sahip olduğu bir web siteleri ağı (botnet'ler) oluşturmaya yardımcı olur ve çeşitli etkinlikler gerçekleştirmelerine olanak tanır. JavaScript, uzak bir sunucu tarafından alınan bir sisteme de enjekte edilebilir, bu da ihlal edilmiş bir web sitesine erişen kullanıcıları yeniden yönlendirir ve onları kötü amaçlı bir web sitesine gönderir.

Saldırının başka bir arka kapı versiyonu, 20'den fazla WordPress CMS kusurunu hedeflemenin yanı sıra önceden bilinmeyen bir komuta ve kontrol (C2) alanını içeriyordu.

Her iki durumda da saldırgan, WordPress yönetici hesaplarına sızmak için bir kaba kuvvet yöntemi kullanır. Doctor Web, "Arka kapının daha yeni sürümlerinde böyle bir seçenek uygulanırsa, siber suçlular, yamalanmış güvenlik açıklarına sahip mevcut eklenti sürümlerini kullanan bazı web sitelerine başarılı bir şekilde saldırabilir."

İstismar Edilen 20'den Fazla CMS Hatası

Linux kötü amaçlı yazılımının istismar ettiği savunmasız temaların ve eklentilerin listesi şunları içerir:

  • Blog Tasarımcısı (< 1.8.12)
  • Brizy
  • Çok Yakında ve Bakım Modu (<= 5.1.0)
  • Delucks SEO
  • Kolay WP SMTP (1.3.9)
  • FV Flowplayer Video Oynatıcı
  • Hibrit
  • Zotabox'tan Messenger Müşteri Sohbeti ile Canlı Sohbet (< 1.4.9)
  • ND Kısa Kodları (<= 5.8)
  • Gazete (CVE-2016-10972, 6.4 – 6.7.1)
  • tek ton
  • OpinionStage'den Anket, Anket, Form ve Sınav Yapıcı
  • Özel Şablonlar Yayınlayın Lite (< 1.7)
  • Zengin İncelemeler
  • Basit Alanlar
  • Akıllı Google Kod Yerleştirici (28 Ocak 2022, < 3,5 itibarıyla kullanımdan kaldırılmıştır)
  • Sosyal Metrik İzleyici
  • Thim Çekirdek
  • Toplam Bağışlar (<= 2.0.5)
  • WooCommerce
  • WordPress Ultimate SSS (CVE-2019-17232 ve CVE-2019-17233, 1.24.2)
  • WPeMatico RSS Besleme Alıcısı ve
  • WP GDPR Uyumluluğu (1.4.2)
  • WP Canlı Sohbet (8.0.27)
  • WP Canlı Sohbet Desteği
  • WP-Matomo Entegrasyonu (WP-Piwik)
  • WP Hızlı Rezervasyon Yöneticisi
  • Sarı Kalem Görsel CSS Stil Düzenleyici (< 7.2.0)
  • İlgili Yazılar (5.12.89)

Önceki WordPress Kötü Amaçlı Yazılım Saldırıları

Tehdit istihbaratı ve araştırma kuruluşu Fortinet FortiGuard Labs, GoTrim olarak bilinen başka bir botnet'i (İhlal edilmiş internete bağlı bir grup cihaz) ortaya çıkardı. Bu ağ, WordPress CMS kullanan kendi kendine barındırılan web sitelerinde kaba kuvvet teknikleri kullanılarak oluşturuldu ve onlara sistemin tam kontrolünü verdi.

GoDaddy'nin sahibi olduğu bir web sitesi güvenlik ve koruma platformu olan Sucuri, 2022'nin sonunda 15.000'den fazla ihlal edilmiş WordPress web sitesi tespit etti. Bu, web sitesi ziyaretçilerini siber suçlular tarafından kontrol edilen Soru-Cevap portallarına yönlendirmeyi amaçlayan genel bir kötü amaçlı yazılım kampanyasının parçasıydı. Ocak 2023 itibariyle, bu web sitelerinin 9.000'den fazlası hala virüs bulaşmış durumda.

2022 yazında Sucuri, JavaScript tabanlı kötü amaçlı yazılım kullanan WordPress web sitelerini hedefleyen "Parrot" adlı bir trafik yönlendirme sistemini (TDS) ayrıntılı olarak açıklayan bir rapor da yayınladı.

Linux Kötü Amaçlı Yazılım Saldırılarını Nasıl Önlersiniz?

Böyle bir saldırıyı önlemek için, tüm WordPress kullanıcılarına, üçüncü taraf eklentileri ve temaları dahil olmak üzere web sitelerinin tüm bileşenlerini güncellemeleri tavsiye edilir. En iyi uygulama olarak, kullanıcılar ayrıca güvenliği artırmak için her kullanıcı için güçlü parolalar ve benzersiz oturum açma ayrıntıları kullanmalıdır.

Web sitesi sahipleri ayrıca, bir fidye yazılımı saldırısının kurbanı olma şansını azaltmak için verilerinin düzenli olarak yedeğini almalı ve ayrıca düzenli olarak güncellenen, birinci sınıf güvenlik eklentileri kurmaları önerilir.

Sarma

Yeni tanımlanan bu saldırı, bir Linux ortamında barındırılan 20'den fazla WordPress eklentisini ve temasını hedefleyerek siber suçluların kötü amaçlı yazılım yürütmesine olanak tanır. Bu saldırıların çoğu, web sitesi ziyaretçilerini sahte web sitelerine yönlendirmeyi içerirken, diğerleri bilgisayar korsanlarının çeşitli suçlar için kullanılabilecek botnet'ler geliştirmesine yardımcı olur.

WordPress kullanıcıları, tüm eklentileri ve temaları güncel tutarak ve güçlü oturum açma kimlik bilgilerini kullanarak böyle bir saldırıyı önleyebilir. Kötü amaçlı yazılım saldırılarının kurbanı olan web sitelerinin çoğunun bakımı yetersizdir, minimum güvenlik kuruludur ve zayıf parolalar kullanır.