Tek Bir Günde Yüzlerce GoDaddy Tarafından Barındırılan Site Arka Kapıya Açıldı
İnternet güvenliği analistleri, GoDaddy'nin Yönetilen WordPress hizmetinde barındırılan ve tümü aynı arka kapı yüküne sahip WordPress web sitelerinde arka kapı enfeksiyonlarında bir artış tespit etti.
Dava, MediaTemple, tsoHost, 123Reg, Domain Factory, Heart Internet ve Host Europe Managed WordPress gibi internet hizmeti satıcılarını etkiliyor.
Keşif, ekibi kötü niyetli etkinliği ilk kez 11 Mart 2022'de 24 saat içinde arka kapıdan etkilenen 298 web sitesiyle, 281'i GoDaddy'de barındırılan Wordfence'den geliyor.
Eski şablon spam göndericisi
Tüm siteleri etkileyen arka kapı, kötü amaçlı sayfaları arama sonuçlarına enjekte etmek için kullanılan C2'den spam bağlantı şablonlarını getirmek için wp-config.php'ye yerleştirilmiş bir 2015 Google arama SEO zehirleme aracıdır.
Kampanya, esas olarak, gerçek içerik yerine güvenliği ihlal edilmiş web sitelerinin ziyaretçilerine sunulan farmasötik spam şablonlarını kullanır.
Bu şablonların amacı, kurbanları sahte ürünler satın almaya ikna etmek, tehdit aktörlerine para ve ödeme ayrıntılarını kaybetmektir.
Ek olarak, aktörler, içeriğini değiştirerek ve ihlali belirgin hale getirerek bir web sitesinin itibarına zarar verebilir, ancak bu, oyuncuların şu anda amacı gibi görünmüyor.
Bu tür saldırıların tarayıcıda değil sunucuda gerçekleşmesi nedeniyle kullanıcı tarafından tespit edilmesi ve durdurulması daha zordur ve bu nedenle yerel internet güvenlik araçları şüpheli hiçbir şey algılamaz.
Tedarik zinciri saldırısı mı?
İzinsiz giriş vektörü belirlenmedi, bu nedenle bu şüpheli bir şekilde bir tedarik zinciri saldırısına yakın görünse de doğrulanmadı.
Bleeping Computer, bu olasılık hakkında daha fazla bilgi edinmek için GoDaddy ile iletişime geçti, ancak henüz bir yanıt alamadık.
Özellikle GoDaddy, Kasım 2021'de 1,2 milyon müşteriyi ve girişte bahsedilen altı kişi de dahil olmak üzere birden fazla Yönetilen WordPress hizmet satıcısını etkileyen bir veri ihlali açıkladı.
Bu ihlal, şirketin Yönetilen WordPress sitelerini sağlayan sisteme yetkisiz erişimi içeriyordu. Bu nedenle, iki olayın bağlantılı olabileceğini öne sürmek çok zor değil.
Her durumda, web siteniz GoDaddy'nin Yönetilen WordPress platformunda barındırılıyorsa, olası arka kapı enjeksiyonlarını bulmak için wp-config.php dosyanızı taradığınızdan emin olun.
Wordfence ayrıca yöneticilere, arka kapıyı kaldırmanın ilk adım olması gerektiğini, spam arama motoru sonuçlarını kaldırmanın da bir öncelik olması gerektiğini hatırlatır.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.