Noll
Angriparna är scanning för WordPress webbplatser som kör en sårbar version av ett populärt plugin som kan göra det möjligt för dem att ta över webbplatser och servrar.
Sårbarheten påverkar “Duplicering,” en WordPress plugin som är installerad på över en miljon platser, enligt statistik som anges på den officiella WordPress-Plugins-katalog. Plugin är populär eftersom den tillåter lokala administratörer migrera platser till nya servrar inom några minuter.
Duplicering fungerar genom att skapa en ZIP-fil som innehåller den tidigare versionen av webbplatsen, tillsammans med en PHP-fil med namnet installer.php. Alla en webbplats admin har att göra är att ladda upp ZIP-arkivet och en fil med namnet installer.php på den nya servern, öppna PHP-filen, ange ny databas med referenser och har nya webbplats igång.
Också: Allvarlig sårbarhet exponerar WordPress hemsidor till attack
Men i juli i år, två säkerhetsforskare från Synacktiv, Thomas Chauchefoin och Julien Legras, upptäckte att plugin inte ta bort filer kvar efter en lyckad migration, inklusive både den ursprungliga ZIP-arkiv och PHP-fil.
Detta innebär att en angripare kan få tillgång till den installer.php script som helst och skriva sitt eget DB referenser för att få tillfällig kontroll över en webbplats, och indirekt över dess underliggande server.
Att utföra en sådan operation resulterar i att bryta av den nuvarande webbplatsen, som platsen skulle köra på toppen av angriparens oseriösa DB, men Synacktiv forskare säger att de under denna tid kan angriparen få admin rättigheter över WordPress-installation och installera skadlig WordPress plugins som kan användas för att släppa dolda bakdörrar på den underliggande server.
Webbplatsägare som upptäcker kraschade webbplatser och som inte kan identifiera källan hacka eller utföra ordentlig hemsida saneringen skulle fortsätta att vara värd för angriparen är dold bakdörr, även efter korrigering av databasen anslutning problemet eller installera om sina webbplatser.
Också: WordPress är bruten automatiska uppdateringsfunktionen
Teamet bakom Duplicering plugin fast denna sårbarhet den 24 augusti med lanseringen av Duplicering 1.2.42, följande Synacktiv rapport. Alla tidigare versioner anses vara påverkat.
Synacktiv publicerat en uppskrivning beskriver felet på augusti 29, som också ingår en proof-of-concept (PoC) script som kan användas för att kapa drabbade webbplatser där admins inte manuellt ta bort filer kvar efter en Duplicering-baserad server migration.
“Vi såg en mycket påtaglig uppgång i scans för utsatta Duplicering filer efter utlämnandet gick allmänheten,” Sean Murphy, Chef för Hot Intelligens på Trotsiga, företaget bakom WordFence security plugin, berättade ZDNet i en intervju i går.
Flera forskare som inte vill dela med sig av sina namn för detta stycke berättade ZDNet att de hittat Duplicering plugin installerad på flera topp Alexa webbplatser.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0