Yaklaşık 1 milyon WordPress sitesi, siteler arası komut dosyası oluşturma güvenlik açığından yararlanarak sitelere yönlendirme yapmaya çalışan tek bir tehditten etkileniyor.
Saldırılar, 28 Nisan’dan beri XSS saldırı sayısının normal oranın 30 katı olduğunu belirten WordFence Tehdit İstihbarat Ekibi tarafından keşfedildi. Ekip, her saldırıda aynı yükün kullanıldığı gerçeğine dayanarak saldırıların arkasında tek bir aktörün olduğuna inanıyor. Yük, ziyaretçileri yönlendiren ve temanın başlığına arka kapı eklemek için yönetici oturumundan yararlanan kötü amaçlı bir JavaScript.
PerimeterX’te güvenlik uzmanı Ameet Naik, bir XSS saldırısının burada yönlendirme için kullanılırken daha ciddi sorunlara yol açabileceğini belirtti:
“Saldırganlar bir web sitesine ayrıcalıklı erişim elde etmek ve kullanıcı verilerini çalabilecek, kötü amaçlı yazılım yayabilecek veya kullanıcıları haksız sitelere kaçırabilecek kötü amaçlı JavaScript kodu oluşturabilecek XSS güvenlik açıklarını kullanabilir. Bu tür teknikler, milyonlarca kredi kartı numarasının çalınmasıyla sonuçlanan binlerce e-ticaret sitesine karşı Magecart saldırıları başlatmak için kullanılmıştır.”
Saldırıların ölçeği şaşırtıcı. WordFence, kötü niyetli aktörün 28 Nisan’dan önce birkaç küçük ölçekli saldırı başlatmış olabileceğine inanıyor, ancak o zamandan beri sadece 3 Mayıs’ta 500.000’den fazla bireysel siteye teşebbüs eden 20 milyon saldırı ile olay sayısını büyük ölçüde artırdı.
“Toplam geçen ay boyunca, bu saldırılarla eşleşen istekleri 900.000’den fazla siteye gönderen 24.000’den fazla farklı IP adresi tespit ettik.”
