Güvenlik araştırmacıları, geçtiğimiz günlerde WordPress kullanan yüzlerce web sitesinin saldırı aldığını ve ele geçirildiğini saptadılar. Yapılan ilk açıklamalara göre söz konusu saldırı, WordPress’in eski bir sürümü olan 3.2.1 sürümündeki bir açıktan kaynaklanmaktaymış. Saldırıda kullanılan yöntem ise, kod enjeksiyonu ile ziyaretçilerin önceden hazırlanmış farklı bir siteye yönlendirilmeleri şeklinde çalışıyor.
Güvenlik araştırmacıları, söz konusu açığın WordPress 3.2.1 sisteminde var olduğunu dolayısıyla hala pek çok sitenin bu açıktan etkileniyor olabileceği uyarısını geçmekteler. Web sitesi sahiplerine verilen tavsiye ise WordPress kullanacaklarsa en güncel sürümü tercih etmeleri yönünde. M86 adlı siber güvenlik laboratuarının verdiği bilgiye göre, saldırgan standart Uploads (yüklemeler) klasörüne bir HTML sayfası yüklemiş. Bu sayfa ise saldırı altındaki siteye gelen ziyaretçileri Phoenix Exploit Kit’e yönlendirmekteymiş.
Güvenlik firması, saldırganın amacının URL itibar mekanizmalarından, spam filtrelerinden ve bazı güvenlik politikalarından bu yolla sıyrılmak olduğu düşüncesinde. M86, saldırganın kötü amaçlı web sitesine trafik çekmek için sahte emailler de gönderdiğini saptamış. Saldırgan ayrıca Internet Explorer, Flash ve Java gibi programlardaki açıklardan da yararlanmaya çalışmaktaymış. M86 özetle, WordPress 3.2.1 sürümünü kullanan ve saldırı ile ele geçirilen web sitelerine herhangi bir zararlı yazılımın yüklenmediğini, saldırganın amacının önceden hazırlanmış başka bir siteye trafik çekmek olduğunu açıklamakta.
Websense ise, aynı konuyla ilgili farklı bir blog yazısı yayınladı ve ele geçirilen WordPress 3.2.1 temelli sitelere TDSS rootkit zararlısının bulaştırıldığını ileri sürdü. Websense’in açıklamalarına göre TDSS rootkit yazılımı, botnetler için PC’leri ele geçirerek zombi bilgisayarlar yaratan bir yazılım ve türünün en sinsi örneklerinden birisi. WordPress kullanıcılarına yapılan tavsiye ise bir an önce en güncel sürüme geçmeleri yönünde.
