Saldırganlar yaptıkları keşif saldırısı ile etkiledikleri web sitelerinin en üstüne izinsiz bir kod yerleştiriyor.
Symantec ofislerinde alarmlar çalıyor. Symantec araştırma ekibi şu an internetteki web sunucularını etkileyen devasa bir saldırısı olduğunu söylüyor.
Symantec güvenlik ürünlerinden gelen verilerden yola çıkan Symantec uzmanları birçok web sitesinin kaynak kodunda ortak bir javascript kodu tespit etti.
Bu yılın başından itibaren kimliği bilinmeyen saldırganlar aynı JavaScript kodunu birbiriyle hiç ilgisi olmayan çok sayıda web sitesine eklemeye başlamıştı.
Symantec bu sayının yaklaşık 3500 olduğunu, sitelerin %75’ten fazlasının ise ABD’de, geri kalanının da Hindistan, İngiltere, İtalya, Japonya, Fransa, Kanada, Rusya, Brezilya ve Avustralya’da host edildiğini tahmin ediyor. Etkilenen web sitelerinin çoğu özel kuruluşlara, eğitim enstitülerine ve hükümet sayfalarına ait.
Otomatik komut dosyaları saldırganların siteleri ele geçirmesini kolaylaştırıyor
Symantec saldırganların çok büyük ihtimalle otomatik komut dosyalarını kullanarak bu web sitelerini tarıyor ve böylece açıklardan faydalanıyor, muhtemelen de açığı bulunan sitelere kötü amaçlı HTML kodlarını yerleştirdiğini belirtiyor.
Web sitelerinin açılış sayfalarına eklenen izinsiz kodlar kötü amaçlı değil fakat Symantec bu kodların ziyaretçilere ait kullanıcı IP’si, sayfa başlığı, sayfa URL’si, URL referansı, Flash versiyonu, kullanıcı dil ayarları ve ekran çözünürlüğü gibi kişisel verileri topladığını söylüyor.
Bu duruma getirilen en basit açıklama saldırganların şu an saldırılarının başlangıç aşamasında olduğu, web sitelerinin ziyaretçilerine ait verileri topladıktan sonra bu verileri ele geçirdikleri her sitenin ziyaretçi tabanına göre bir saldırı tipi belirlemek için kullanacakları.
Saldırganların bu keşif saldırısı vasıtasıyla şu anki izinsiz kodun yerine ziyaretçileri bir exploit kitine yönlendirecek daha kötü amaçlı bir yazılım koymaları, bu yazılım vasıtasıyla da bankacılık trojanları, kötü amaçlı reklamları veya fidye yazılımları dağıtmaları oldukça kolay olacak.
Mağdurlar arasında WordPress de var mı?
Symantec bu izinsiz kodun yalnızca bir “tanınmış içerik yönetimi sistemini” ele geçirdiğini bildiriyor. Symantec’in güvenlik uyarısında WordPress’in adı geçiyor ama bunun bir örnek olarak mı kullanıldığı, yoksa WordPress isminin bu saldırı kapsamında dahil olduğu bilinmiyor.
Geçmiş WordPress çekirdeklerindeki, eklentilerindeki ve özel temalarındaki güvenlik açıkları, ayrıca WordPress piyasasının hala çok parçalı olduğu göz önünde bulundurulduğunda, WordPress içerik portalının ana hedef olduğu söylenebilir. İnternetin dörtte birinden fazlası tarafından kullanılıyor olması da WordPress’i hackerlar için cazip bir hedef haline getiriyor.