Güvenlik Olayı: PushEngage Üzerinden Sunulan Kurcalanmış Komut Dosyası

Özet

PushEngage'ı etkileyen bir güvenlik olayına yanıt veriyoruz. Bir saldırgan, içerik dağıtım ağımızın (CDN) kimlik bilgilerine erişim sağladı ve bunu, bu ürünlerin müşteri sitelerine teslim ettiği kurcalanmış JavaScript dosyası sürümünü sunmak için kullandı. Sınırlı bir süre boyunca, betiğimizi yerleştiren siteler bu değiştirilmiş dosyayı doğrudan CDN'imizden yükledi.

Kötü amaçlı kod yalnızca oturum açmış WordPress yöneticileri için etkinleşti. Etkilenen bir sitede çalıştığında, gizli bir yönetici hesabı oluşturmaya ve gizlenmiş bir arka kapı eklentisi yüklemeye çalıştı, ardından verileri saldırgan tarafından kontrol edilen bir sunucuya gönderdi. Sıradan site ziyaretçileri hedef alınmadı, ancak kod bir saldırganın site kontrolünü ele geçirmesine izin verebileceğinden, etkilenen herhangi bir site ele geçirilmiş olarak kabul edilmelidir.

Kapsam – ne ulaşıldı ve ne ulaşılmadı: 

Uygulama sunucularımız, kaynak kodumuz ve PushEngage hesap bilgilerinizin depolandığı sistemler ayrı olarak barındırılmaktadır ve ihlal edilmemiştir. Bizde bulunan hesap verilerine veya kişisel ayrıntılara erişildiğine dair herhangi bir kanıtımız bulunmamaktadır. İhlal, pazarlama web sitesi sunucumuzla ve üzerinde saklanan bir CDN API anahtarı aracılığıyla CDN hesabımızla sınırlı kaldı. Önemlisi, bu durum etkilenen site sahipleri için aciliyeti azaltmaz: sitenize teslim edilen dosya kurcalanmış, bu nedenle maruz kalma penceresindeyseniz aşağıdaki adımlar hala önemlidir.

Şimdi kimlerin harekete geçmesi gerekiyor: Sitenizde PushEngage aktifse ve bir yönetici maruz kalma penceresi sırasında oturum açmışsa, lütfen sitenizi ele geçirilmiş olarak kabul edin ve hemen [Nelerin kontrol edileceği ve ne yapılacağı](#what-to-check-and-do) bölümünü izleyin. En güvenilir kontroller, WordPress panosunda değil, sunucunuzda gerçekleşir.

Maruz kalma penceresi

CDN sağlayıcımızın günlüklerine dayanarak, kurcalanmış dosyalarla yetkisiz yapılandırma yaklaşık olarak 12 Haziran 2026 (UTC) tarihindeki birkaç saat boyunca yerindeydi. Kullanıcıların bir alt kümesi için, belirli CDN kenar konumlarından 14 Haziran'a (UTC) kadar sunulmaya devam etti. Etkilenen içeriğin sunulduğu kesin dönemi doğrulamaya devam ediyoruz ve ek ayrıntılar doğrulandıkça bu bildirimi güncelleyeceğiz.

Yalnızca bu pencere sırasında yönetici oturum açmış olarak etkilenen betiği yükleyen siteler ele geçirilmiş olabilir.

Etkilenen dosyalar, standart yerleştirme betikleriydi ve şunlardan sunuldu:

Ne oldu

Bir saldırgan, pazarlama web sitemizi barındıran sunucuya erişim sağlamak için üçüncü taraf bir WordPress eklentisindeki (UpdraftPlus) bilinen bir güvenlik açığından yararlandı. Bu sunucu tamamen ayrıdır: farklı barındırma, PushEngage'ı çalıştıran ve müşteri verilerini depolayan uygulama sunucularından farklı altyapı.

Pazarlama sunucusunda saldırgan, CDN hesabımız için bir API anahtarı buldu. Bu anahtarı kullanarak, uygulama kaynağımıza hiç dokunmaları gerekmedi. CDN'imizin sunduğu dosyaları değiştirdiler, böylece değiştirilmiş betik, biz tespit edip değişikliği geri alana kadar sınırlı bir süre için onu yerleştiren sitelere teslim edildi.

Pazarlama sitesini düzelttik, yeni bir sunucuya taşıdık ve CDN API anahtarı da dahil olmak üzere tüm kimlik bilgilerini döndürdük.

Kötü amaçlı kodun yaptık

Etkilenen bir sitede, oturum açmış bir yönetici bir sayfayı yüklediğinde, kod şunları yapmaya çalıştı:

  1. Bir WordPress yönetici bağlamında çalıştığını onayladı, ardından o yönetici olarak hareket etmek için gereken güvenlik belirteçlerini topladı.
  2. Gizli bir yönetici hesabı oluşturdu. Bilinen hesaplar arasında developer_api1 ([email protected]) ve dev_xxxxxx biçimindeki rastgele oluşturulmuş hesaplar bulunur.
  3. Gösterge tablosundan gizlenen ve kimliği doğrulanmamış bir web kabuğu ve kod yürütme uç noktası açığa çıkaran -etkin bir şekilde sitenin tam kontrolünü sağlayan- kendi kendini gizleyen bir arka kapı eklentisi yükledi.
  4. Yeni kimlik bilgilerini ve site ayrıntılarını saldırgan tarafından kontrol edilen bir sunucuya gönderdi.

Arka kapı WordPress yönetici ekranlarından gizlendiği için, yalnızca gösterge tablosu etkilenip etkilenmediğinizi size söylemez. Güvenilir kontroller sunucu dosya sistemindedir ve sunucu tarafı tarama yoluyla yapılır.

Neleri kontrol etmeli ve yapmalı

Web sitenizde PushEngage çalışıyorsa VE maruz kalma penceresi sırasında bir yönetici WordPress sitenize giriş yaptıysa, mümkün olan en kısa sürede aşağıdakileri yapın. Bir yöneticinin giriş yapıp yapmadığından emin değilseniz, kontrol etmek daha güvenlidir.

  1. Sahte yönetici hesaplarını kaldırın. developer_api1 / [email protected] ve beklenmeyen dev_xxxxxx hesaplarını arayın ve silin.
  1. Arka kapı eklentisi için yalnızca gösterge tablosunu değil, dosya sistemini de kontrol edin. wp-content/plugins altında, content-delivery-helper (“Content Delivery Helper”) veya database-optimizer (“Database Optimizer”) öğelerini arayın. Gizlenme yöntemi değişir, bu nedenle gösterge tablosunun gösterdiğinden daha çok disktekine güvenin. Bulduklarınızı kaldırın.
  1. Sunucu tarafı kötü amaçlı yazılım taraması çalıştırın. Yük, yalnızca oturum açmış yöneticiler için çalıştığından, gösterge tablosu ve istemci tarafı kontrolleri güvenilmezdir; arka kapıyı veya başka herhangi bir değişikliği bulmanın en güvenilir yolu sunucu tarafı taramasıdır.
  1. Yukarıdaki göstergelerden herhangi birini bulursanız, tam bir tehlike altında olduğunuzu varsayın ve her şeyi değiştirin: yönetici parolaları, uygulama/API anahtarları, veritabanı kimlik bilgileri ve wp-config.php'deki WordPress güvenlik anahtarlarınız/salty'leriniz. Arka kapı keyfi kod yürütmeye izin verdi, bu nedenle ek kalıcılık mevcut olabilir.

Bu göstergelerden hiçbirini bulamazsanız ve pencere sırasında hiçbir yönetici giriş yapmadıysa, siteniz büyük olasılıkla etkilenmemiştir ve standart hijyenin (iki faktörlü kim doğrulamayı etkinleştirme, yazılımı güncel tutma) ötesinde herhangi bir işlem gerekmez.

Şimdiye kadar yaptıklarımız

  • Kurcalama tespit edildi ve etkilenen CDN dosyaları hemen geri alındı; temiz dosyaların sunulması için CDN önbelleği temizlendi.
  • CDN API anahtarı ve ilgili tüm kimlik bilgileri iptal edildi ve döndürüldü.
  • Zarar görmüş pazarlama web sitesi düzeltildi ve ayrı bir altyapıdaki yeni bir sunucuya taşındı.
  • Uygulama sunucularımızın, kaynak kodumuzun ve müşteri verileri sistemlerimizin ayrı bir altyapıda erişim kanıtı göstermediği doğrulandı.
  • Güvenlik ekibimizle iletişime geçtik ve teslimat günlüklerini almak için CDN sağlayıcımızla çalışıyoruz.

Durum ve devam eden risk

CDN yapılandırmamız düzeltildi ve kurcalanmış dosyalar kaldırıldı, etkilenen kimlik bilgileri döndürüldü ve pazarlama sunucumuzdaki giriş noktası düzeltildi. 

Sistemlerimizi düzeltmek, zaten ele geçirilmiş bir siteyi temizlemez. Siteniz maruz kalma penceresi sırasında etkilendiyse, kötü niyetli yönetici hesabı ve gizli arka kapı eklentisi, yukarıdaki adımları kullanarak bunları kaldırana kadar yerinde kalır. Harekete geçmenizi öneririz. Ek ilgili bilgiler ortaya çıkarsa bu sayfayı güncelleyeceğiz.

Saldırı göstergeleri

Site sahipleri ve güvenlik ekipleri için:

Kötü niyetli hesaplar:

Arka kapı eklentisi kılıkları (dönüyor; dosya sistemini kontrol edin):

  • content-delivery-helper   “İçerik Teslim Yardımcısı”   v2.7.1
  • database-optimizer        “Veritabanı Optimize Edici”         v2.9.4

Saldırgan altyapısı:

  • tidio.cc   (benzer alan adı — YASAL tidio.com DEĞİLDİR)

Benzersiz dizeler:

  • jX9kM2nP4qR6sT8v            (kötü amaçlı yazılım tarafından kullanılan şifreleme anahtarı)
  • WPM Dosya Yöneticisi & Shell    (arka kapı kabuk arayüzü)

İletişim

Sorularınız varsa, sitenizi kontrol etmek için yardıma ihtiyacınız varsa veya olağandışı bir şey fark ederseniz, [email protected] adresinden bizimle iletişime geçin. Olayla ilgili sorguları önceliklendiriyoruz ve bu sayfayı güncel tutacağız.

Müşterilerimizi korumak bizim için bir önceliktir. Bu olayın endişe verici olabileceğini anlıyoruz ve neden olduğu herhangi bir aksaklık için üzgünüz. Yukarıdaki bilgiler, şu ana kadar yaptığımız araştırmayı yansıtmaktadır ve ek ayrıntılar doğrulandıkça bu sayfayı güncelleyeceğiz.

Yorum Ekle

Yorum bırakmayı seçtiğiniz için mutluyuz. Lütfen tüm yorumların gizlilik politikamıza göre denetlendiğini ve tüm bağlantıların nofollow olduğunu unutmayın. Ad alanında anahtar kelimeler KULLANMAYIN. Kişisel ve anlamlı bir sohbet edelim.

Web Sitenizden Ayrıldıktan Sonra Ziyaretçileri Etkileşimde Tutun ve Elde Tutun

Gözden kaçması zor Anlık Bildirimlerle her web ziyaretinin değerini artırın.

  • Sonsuza Kadar Ücretsiz Plan
  • Kolay Kurulum
  • 5 Yıldız Destek