Geçtiğimiz aylarda, yüzbinlerce web sitesini hedef alan büyük çaplı bir saldırı operasyonunun iç yüzü ortaya çıktı. WP-SHELLSTORM adı verilen bu kampanya, özellikle güncel olmayan WordPress eklentilerini kullanan sitelerde gizli arka kapılar (webshell) yerleştirerek, bu erişimleri başkalarına satmak üzere paketleyen bir yapı olarak dikkat çekiyor.
Saldırı Nasıl İşliyor?
Operasyonun merkezinde, öncelikle popüler içerik yönetim sistemlerinden WordPress ve Joomla’daki bilinen güvenlik açıklarını hedef alan otomatik tarayıcılar var. Çin kaynaklı FOFA adlı arama motorundan çekilen milyonlarca hedef adres, bu tarayıcılar tarafından sistematik şekilde test ediliyor. Zayıf eklentilerdeki açıklar kullanılarak küçük ama güçlü webshell betikleri yükleniyor; böylece saldırganlar komut çalıştırabiliyor, dosya okuyabiliyor, parolaları çalabiliyor ve sunucu içinde derinlere ilerleyebiliyor.
Unutulan Sunucu Kilit Rol Oynadı
Operasyonun en ilginç yanı, saldırganların kontrolündeki bir sunucunun yanlışlıkla şifresiz ve açık bırakılması oldu. Bu sunucu, yaklaşık 22 gün boyunca erişilebilir haldeydi ve içerisinde 800 MB’lık dosya yığını bulunuyordu. Bu dosyalar arasında komut geçmişi, webshell’ler, tarama sonuçları ve kontrol ayarları yer aldı. İki ayrı araştırma ekibi bu verileri inceleyerek operasyonun kapsamını ve metodolojisini ortaya çıkardı.
En Çok Hedeflenen Eklenti: Breeze
WP-SHELLSTORM’un en etkili aracı, Breeze önbellek eklentisindeki (CVE-2026-3844) bir zaafiyetti. Bu açık, yalnızca belirli bir ayar aktifse işletilebiliyordu; buna rağmen 45.000’den fazla siteye saldırıldı ve yaklaşık 17.000’inde başarılı bir şekilde arka kapı kurulumu gerçekleştirildi. Joomla tarafında ise JCE editöründeki kritik açık (CVE-2026-48907) yüksek risk taşıyor ve CISA’nın bilinen sömürülen zafiyetler listesinde yer alıyor.
Gerçek Kompromize Sayısı ve Yanılgılar
Operasyonun hedef listesinde 1.4 milyon domain yer alıyordu ancak bu sayı, kırılan site sayısıyla karıştırılmamalı. Gerçekten ele geçirilen sitelerin sayısı on binlerle sınırlı kaldı. Örneğin Joomla için taranan 560.000’den fazla hedef arasından sadece 77’sinde açık kullanıldı. Bu durum, büyük hedef listelerinin illa ki başarılı saldırıya dönüşmediğini gösteriyor. Tarama listesinde olmakla, saldırıya uğramak arasında önemli fark var.
Operasyonun Teknik Kurgusu
Ana arka kapı dosyası down.php, dört katmanlı karmaşık gizleme teknikleriyle hazırlanmış ve Çin kaynaklı BestShell webshell’ine dayanıyor. Saldırganlar, dosya yönetimi, komut çalıştırma, ters kabuk açma ve ağ taraması gibi işlemleri buradan yürütüyor. Ayrıca SNOWLIGHT ve VShell araçları kullanılarak gizli erişim sağlanıyor; VShell işlem adı olarak kernel iş parçacıklarıyla karışan [kworker/0:2] adını taşıyor. Bu araçlar, daha önce de Çin bağlantılı tehdit aktörleri tarafından kullanılmıştı.
Önce Kurumsal Sistemler, Sonra Web Siteleri
İlginç bir biçimde, aynı saldırı grubu Mayıs 2026’da finans, e-ticaret, lojistik gibi sektörlerdeki Java tabanlı kurumsal sistemlere yönelik sessiz bir kampanya düzenlemiş. Burada AWS, Alibaba Cloud, Oracle gibi bulut servislerine ait giriş anahtarları, veritabanı şifreleri ve ödeme sistemlerine ait özel anahtarlar çalındı. Bu ilk aşamada kritik kurumsal bilgiler ele geçirildi, ardından WordPress ve Joomla sitelerine yönelik yoğun arka kapı yerleştirme operasyonuna geçildi.
Saldırganın İzleri ve Güvenlik Açıkları
Her iki araştırma ekibinin değerlendirmesi, operatörün Çin ya da Çin dili konuşan biri olduğunu gösteriyor. Kod ve komut geçmişinde basitleştirilmiş Çince kullanımı, FOFA platformunun tercih edilmesi ve kullanılan araçlar buna işaret ediyor. Ancak operasyonun devlet destekli değil, finansal kazanç odaklı olduğu tahmin ediliyor. İlginç bir detay, Tayvan’dan 42.000’den fazla istekle araştırmacı veya ikinci bir aktör ihtimalinin doğması.
Ancak saldırganın amatörce yaptığı hatalar operasyonun ortaya çıkmasını sağladı. Açık bırakılan sunucu, değiştirilmeyen komut kayıtları ve FOFA yapılandırma dosyasının sızması onun yakalanmasına zemin hazırladı. Bu tür ihmaller, geçmişte Rus APT gruplarının da yakalanmasına yol açmıştı.
Hangi Önlemler Alınmalı?
Güncel olmayan WordPress ve Joomla eklentisi kullanıcıları için acil yama çağrısı yapılıyor. Breeze eklentisi 2.4.5 sürümüne yükseltilmeli, Joomla JCE editörü de en son güvenlik güncellemeleriyle korunmalı. Ayrıca Simple File List, Ninja Forms, WP File Manager gibi diğer açıkları olan eklentiler de kontrol edilmeli. Nacos konfigürasyon sunucularında kimlik doğrulama etkinleştirilmeli ve kritik kimlik bilgileri yenilenmeli.
Sunucularda .bd.php, .wp-log.php ve .brq-*.php gibi webshell dosya isimleri aranmalı, [kworker/X:Y] işlem isimleri dikkatle incelenmeli. Gerçek kernel iş parçacıklarının hiçbir çalıştırılabilir dosyası ve komut satırı yoktur; bunların varlığı anormaldir. Ayrıca bilinen kötü amaçlı altyapı IP adresleri ve domainler engellenmelidir.
Kısa Teknik Özet
- Hedef sistemler: WordPress, Joomla, kurumsal Java uygulamaları
- Kullanılan zafiyetler: Breeze önbellek (CVE-2026-3844), Joomla JCE (CVE-2026-48907), Nacos sunucu (CVE-2021-29441) ve diğer 27 açıklık
- Saldırı zinciri: Otomatik tarama → Webshell yükleme → Komut çalıştırma ve erişim satışı
- Kullanılan araçlar: BestShell tabanlı down.php, SNOWLIGHT dropper, VShell arka kapısı
- Önerilen savunma: Yazılım güncellemeleri, erişim kontrolü, ağ segmentasyonu, düzenli log analizi
WP-SHELLSTORM operasyonu, gelişmiş teknikler yerine basit ve yaygın araçlarla bile geniş çaplı tahribat yapılabileceğini bir kez daha gösteriyor. Saldırganların açık bırakılan sunucusu sayesinde detaylar gün yüzüne çıktı; bu da bize, temel güvenlik önlemlerinin ne denli kritik olduğunu hatırlatıyor.
