110.000'den Fazla Web Sitesi Ele Geçirilen Polyfill Tedarik Zinciri Saldırısından Etkilendi
Google, Çinli bir şirketin alan adını satın alması ve kullanıcıları kötü amaçlı ve dolandırıcı sitelere yönlendirmek için JavaScript kitaplığını ("polyfill.js") değiştirmesinin ardından Polyfill.io hizmetini kullanan e-ticaret sitelerinin reklamlarını engellemek için adımlar attı.
"Kullanıcılarımızı korumak en büyük önceliğimizdir. Son zamanlarda, belirli üçüncü taraf kitaplıkları kullanan web sitelerini etkileyebilecek bir güvenlik sorunu tespit ettik, "dedi şirket. Ayrıca paylaşılan bir açıklamada. "Potansiyel olarak etkilenen reklam verenlerin web sitelerini güvence altına almalarına yardımcı olmak için, sorunu hızlı bir şekilde nasıl azaltacaklarına dair bilgileri proaktif olarak paylaşıyoruz."
Sansec Salı günü yayınladığı bir raporda, kütüphaneyi yerleştiren 110.000'den fazla sitenin tedarik zinciri saldırısından etkilendiğini söyledi.
Polyfill, web tarayıcılarında modern işlevler için destek içeren popüler bir kitaplıktır. Bu Şubat ayının başlarında, Çin merkezli içerik dağıtım ağı (CDN) şirketi Funnull tarafından satın alınmasının ardından endişeler dile getirildi.
Projenin orijinal yaratıcısı Andrew Betts, web sitesi sahiplerini derhal kaldırmaya çağırdı ve "bugün hiçbir web sitesi çoklu dolgudaki çoklu dolgulardan herhangi birini gerektirmiyor [.] io kitaplığı" ve "web platformuna eklenen özelliklerin çoğu, Web Seri ve Web Bluetooth gibi genellikle çok doldurulamayan bazı istisnalar dışında, tüm büyük tarayıcılar tarafından hızla benimsenir."
Gelişme aynı zamanda web altyapısı sağlayıcıları Cloudflare ve Fastly'yi, kullanıcıların polyfill'den uzaklaşmalarına yardımcı olmak için alternatif uç noktalar sunmaya sevk etti[.] ıo.
"Endişeler, orijinal çoklu dolguya bir bağlantı yerleştiren herhangi bir web sitesinin[.] io, etki alanı, artık bir tedarik zinciri saldırısı riskinden kaçınmak için temel projeyi sürdürmek ve güvence altına almak için Funnull'a güvenecek, "dedi Cloudflare araştırmacıları Sven Sauleau ve Michael Tremante o sırada.
"Böyle bir saldırı, altta yatan üçüncü tarafın güvenliği ihlal edilirse veya son kullanıcılara sunulan kodu kötü yollarla değiştirirse ve sonuç olarak aracı kullanan tüm web sitelerinin güvenliğinin ihlal edilmesine neden olur."
Hollandalı e-ticaret güvenlik firması, alan adının "cdn.polyfill[.] io" o zamandan beri kullanıcıları spor bahislerine ve pornografik sitelere yönlendiren kötü amaçlı yazılım enjekte ederken yakalandı.
"Kodun tersine mühendisliğe karşı özel koruması var ve yalnızca belirli mobil cihazlarda belirli saatlerde etkinleşiyor" dedi. "Ayrıca bir yönetici kullanıcı algıladığında etkinleşmiyor. Ayrıca, bir web analizi hizmeti bulunduğunda, muhtemelen istatistiklerde yer almamak için yürütmeyi geciktirir."
San Francisco merkezli c/side da kendi uyarısını yayınladı ve alan adı yöneticilerinin 7-8 Mart 2024 tarihleri arasında sitelerine bir Cloudflare Güvenlik Koruması başlığı eklediğini belirtti.
Bulgular, Adobe Commerce ve Magento web sitelerini etkileyen ve 11 Haziran 2024'ten bu yana mevcut olan düzeltmelere rağmen büyük ölçüde yamasız kalmaya devam eden kritik bir güvenlik açığıyla ilgili bir tavsiyeyi takip ediyor (CVE-2024-34102, CVSS puanı: 9.8).
"Kendi içinde, herkesin özel dosyaları (şifreli olanlar gibi) okumasına izin veriyor," dedi Sansec, istismar zincirinin kod adı CosmicSting. "Ancak, Linux'taki son iconv hatasıyla birleştiğinde, uzaktan kod yürütmenin güvenlik kabusuna dönüşüyor."
O zamandan beri, üçüncü tarafların, iconv sorununa (CVE-2024-2961) karşı savunmasız bir Linux sürümüne ihtiyaç duymadan API yöneticisi erişimi elde edebileceği ortaya çıktı ve bu da onu daha da ciddi bir sorun haline getirdi.
Son Durum
Cloudflare, web sitesi sahiplerini polyfill'i kaldırmaya çağıran yeni uyarılar yayınladı[.] io, kullanıcıların tarayıcılarına kötü amaçlı JavaScript kodu enjekte etmek için kullanılabileceğine dair devam eden endişeler nedeniyle
Ayrıca, "çoklu dolguyu asla tavsiye etmediğini" vurguladı. io hizmeti veya Cloudflare'in adını web sitelerinde kullanmalarına izin verdi" ve onlardan "yanlış ifadeyi kaldırmalarını" istedi.
Cloudflare'den Matthew Prince, John Graham-Cumming ve Michael Tremante, "Şimdiye kadar taleplerimizi görmezden geldiler" dedi. "Bu, onlara güvenilemeyeceğine dair bir başka uyarı işaretidir."
Dahası, web sitesi alan adı kayıt şirketi Namecheap tarafından kaldırıldı, ancak o zamandan beri polyfill[.] adlı başka bir alana taşındı. com, geliştirici güvenlik platformu Socket'e göre.
CDN şirketi, X'te (eski adıyla Twitter) paylaşılan bir açıklamada, "Polyfill'e iftira atan medya mesajları bulduk" dedi. "Tüm hizmetlerimizin Cloudflare'de önbelleğe alındığını ve tedarik zinciri riski olmadığını açıklamak istiyoruz."
"Birisi bizi kötü niyetli bir şekilde karaladı. Tüm içerik statik olarak önbelleğe alındığı için tedarik zinciri riskimiz yoktur. Üçüncü tarafların herhangi bir katılımı, web sitenize potansiyel riskler getirebilir, ancak kendi itibarımızı tehlikeye atacağı için kimse bunu yapmaz.
Polyfill, takip eden bir mesajda Cloudflare'ı "tekrarlanan, temelsiz ve kötü niyetli karalama" ile suçladı ve "kendi ürünlerini tanıtmadan önce rekabeti bastırmaya yönelik etik olmayan stratejilerinin içler acısı olduğunu" iddia etti.
OpenJS Vakfı'nı hedef alan "güvenilir" bir devralma girişiminin ve XZ Utils kitaplığına gömülü kötü amaçlı kodun keşfedilmesinin ardından kanıtlandığı gibi, açık kaynak topluluğunu giderek daha fazla hedef alan tedarik zinciri saldırılarının zemininde ileri geri ortaya çıkıyor.
Kaspersky araştırmacıları Anderson Leite ve Sergey Belov, "XZ arka kapısının arkasındaki grup veya saldırganın, SSH ve libc gibi açık kaynaklı projelerin dahili bileşenleri hakkında kapsamlı bilgiye sahip olmasının yanı sıra enfeksiyonu başlatmak için kullanılan kod/komut dosyası gizleme konusunda uzmanlığa sahip olması dikkate değer" dedi.
İstemci tarafı komut dosyası oluşturma için JavaScript'e güvenen web sitelerinde, polyfill[.] IO Situation, kötü niyetli aktörlerin tüm alt müşterilere aynı anda zarar vermek için yaygın olarak kullanılan ürün ve hizmetleri nasıl tehlikeye atabileceğinin en son örneğidir.
Jscrambler'ın CTO'su ve kurucu ortağı Pedro Fortuna, paylaşılan bir açıklamada, "İşletmeler istemci tarafı JavaScript geliştirmeye giderek daha fazla güvendikçe, JavaScript'in zayıflıkları ve istemci tarafındaki kör noktalardan yararlanmaya devam edecek" dedi.
"İşletmelerden JavaScript ve üçüncü taraf eklentilerden uzaklaşmalarını istemek bir seçenek olmasa da, şirketler komut dosyası davranışını ve bütünlüğünü gerçek zamanlı olarak izleyebilen ve yönetebilen daha gelişmiş ve otomatik çözümlere yatırım yapmaya başlayabilir."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı