384 Bin Web Sitesini Etkileyen Tedarik Zinciri Saldırısı: Polyfill Vakası

Siber güvenlik dünyasında son dönemin en dikkat çekici olaylarından biri, yüz binlerce web sitesini etkileyen Polyfill tedarik zinciri saldırısı oldu. Mercedes-Benz’den Hulu’ya, Warner Bros’tan federal hükümet sitelerine kadar uzanan bu güvenlik ihlali, modern web ekosisteminin ne kadar kırılgan olabileceğini bir kez daha gözler önüne serdi.

Polyfill’in Dönüşümü: Güvenilir Araçtan Tehdide

Yazılım dünyasında güvenilir bir araç olarak bilinen Polyfill, web geliştiricilerinin uzun yıllardır güvenle kullandığı bir JavaScript kütüphanesiydi. Temel amacı, eski internet tarayıcılarının modern web teknolojileriyle uyumlu çalışmasını sağlamaktı. Geliştiriciler için cdn.polyfill.io bağlantısını sitelerine eklemek, tarayıcı uyumluluğu sorunlarını çözmek için yeterliydi.

Saldırının Anatomisi

Tespit ve Yayılım

Sansec güvenlik firmasının araştırmacıları, 25 Haziran 2024’te kritik bir keşifte bulundu. Polyfill’in kodunda yapılan değişiklikler, kullanıcıları yetişkin içerikli ve kumar sitelerine yönlendiriyordu. Bu saldırının en tehlikeli yanı, son derece sofistike bir maskeleme mekanizması kullanmasıydı:

• Yönlendirmeler yalnızca belirli saatlerde gerçekleşiyordu
• Sadece özel kriterleri karşılayan ziyaretçiler hedef alınıyordu
• Tespit edilmesi oldukça zordu

Etki Alanı

Censys araştırma ekibinin tespitlerine göre:

• Toplam 384.773 web sitesi etkilendi
• Etkilenen sitelerin %62’si (237.700 site) Almanya merkezli Hetzner’da barınıyor
• 1.6 milyon site potansiyel risk altında
• 182 .gov uzantılı devlet sitesi etkilendi

Sektörün Tepkisi ve Alınan Önlemler

Güvenlik tehdidinin ortaya çıkmasıyla birlikte teknoloji endüstrisi hızla harekete geçti:

• Namecheap’in Müdahalesi: Domain registrar, zararlı kodun yayılmasını engellemek için domain’i derhal askıya aldı
• Cloudflare’ın Çözümü: CDN sağlayıcı, Polyfill bağlantılarını otomatik olarak güvenli mirror sitelere yönlendirmeye başladı
• Google’ın Yaptırımı: Polyfill.io bağlantısı içeren sitelere reklam gösterimi durduruldu
• uBlock Origin’in Koruması: Domain, popüler reklam engelleyicinin filtre listesine eklendi

Gelecek İçin Dersler ve Öneriler

Web geliştiriciler ve site yöneticileri için önemli hatırlatmalar:

• Üçüncü Parti Kod Denetimi: Dış kaynaklardan alınan kodların düzenli güvenlik kontrolü
• Alternatif Çözümler: Kritik fonksiyonlar için yedek çözümlerin hazır tutulması
• Güvenlik Güncellemeleri: Tedarikçi değişiklikleri ve güvenlik duyurularının takibi
• Risk Değerlendirmesi: Dış kaynak kullanımında risk-fayda analizinin yapılması

Teknik Altyapı ve İlişkili Riskler

Araştırmacılar, Polyfill vakasıyla bağlantılı başka domainlerde de benzer tehditler tespit etti:

• bootcss.com’da benzer zararlı aktiviteler
• bootcdn.net üzerinde potansiyel riskler
• staticfile.net ve staticfile.org’da güvenlik açıkları

Sonuç

Polyfill vakası, modern web geliştirme pratiklerinde güvenlik ve kod denetiminin önemini açıkça ortaya koydu. Tek bir JavaScript kütüphanesinin satın alınmasıyla başlayan süreç, yüz binlerce sitenin güvenliğini tehlikeye atabildi. Bu olay, web ekosisteminde güvenlik önlemlerinin ve düzenli denetimlerin ne kadar kritik olduğunu bir kez daha gösterdi.

[em]Bu makale, Ars Technica’nın orijinal haberinden derlenmiştir.[/em]

Kaynak: https://arstechnica.com/security/2024/07/384000-sites-link-to-code-library-caught-performing-supply-chain-attack/