Wordpress için güvenlik eklentilkeri üreten Wordfence firması yaptığı açıklamada “Son 36 saat içinde, Wordfence, 1,6 milyondan fazla sitede dört farklı eklentiyi ve Epsilon Framework temasını hedefleyen ve 16.000’den fazla farklı IP adresinden kaynaklanan 13,7 milyondan fazla saldırıyı engelledi.” dedi.
Saldırganlar, bazı eklentilerde bulunan güncelleme seçeneklerini hedefliyor. Dört eklenti, 12 Kasım 2018’den beri güncelleme yapılan Kiwi Social Share, 23 Ağustos 2021’den beri güncelleme yapılan WordPress Automatic ve Pinterest Automatic ve yakın zamanda 6 Aralık 2021’de güncellemesi yapılan PublishPress Capabilities’i etkiliyor. Ayrıca, isteğe bağlı seçenekleri güncellemek amacıyla çeşitli Epsilon Framework temalarında güvenlik açığını hedefliyorlar.
Çoğu durumda, saldırganlar users_can_register seçeneği etkin olarak güncelliyor ve seçeneği default_role “yönetici” olarak ayarlıyor. Bu, saldırganların sitede yönetici olmasını sağlıyor.
Son 36 saat içinde aşağıdaki IP adreslerinden saldırı yapıldı
- 430.067 saldırı ile 144.91.111.6 engellendi.
- 185.9.156.158 ile 277.111 saldırı engellendi.
- 274.574 saldırı ile 195.2.76.246 engellendi.
- 37.187.137.177 ile 216.888 saldırı engellendi.
- 51.75.123.243 ile 205.143 saldırı engellendi.
- 185.200.241.249 ile 194.979 saldırı engellendi.
- 62.171.130.153 ile 192.778 saldırı engellendi.
- 181.508 saldırı ile 185.93.181.158 engellendi.
- Engellenen 158.873 saldırı ile 188.120.230.132.
- 104.251.211.115 ile 153.350 saldırı engellendi.
Etkilenen eklentiler ve sürümleri şunlardır:
- PublishPress Capabilities <= 2.3
- Kiwi Social Plugin <= 2.0.10
- Pinterest Automatic <= 4.14.3
- WordPress Automatic <= 3.53.2
Etkilenen Epsilon Framework tema sürümleri şunlardır:
- Shapely <=1.2.8
- NewsMag <=2.4.1
- Activello <=1.4.1
- Illdy <=2.1.6
- Allegiant <=1.2.5
- Newspaper X <=1.3.1
- Pixova Lite <=2.0.6
- Brilliance <=1.2.9
- MedZone Lite <=1.2.5
- Regina Lite <=2.0.5
- Transcend <=1.1.9
- Affluent <1.1.0
- Bonkers <=1.0.5
- Antreas <=1.0.6
- NatureMag Lite – Şu an için yaması bulunmıyor. Yüklü ise kaldırılması öneriliyor.
Web siteme Virüs Bulaştığını Nasıl Anlarım ve Ne Yapmalıyım?
- Bir sitenin bu güvenlik açıklarından etkilenip etkilenmediğini belirlemek için, yetkisiz kullanıcı hesapları olup olmadığını belirlemek için sitedeki kullanıcı hesaplarını incelemenizi öneririz.
- Site, dört eklentiden veya çeşitli temalardan herhangi birinin güvenlik açığı bulunan bir sürümünü bulunuyorsa ve sahte bir kullanıcı hesabı varsa, sitenin güvenliği bu eklentilerden biri aracılığıyla ihlal edilmiş olabilir. Lütfen tespit edilen tüm kullanıcı hesaplarını derhal kaldırın.
- Site yönetim panelimdeki ayarların aşağıdaki gibi olduğunu kontrol edin.
Kaynak: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/