Nul
Angribere scanning til WordPress sites, der kører med den sårbare version af et populært plugin, der kan give dem mulighed for at tage over sites og servere.
Sårbarheden påvirker “Duplikator,” en WordPress plugin, der er installeret på over en million steder, ifølge statistikker, der er opført på den officielle WordPress Plugins mappe. Dette plugin er populære, fordi det gør det muligt site admins migrere steder til nye servere inden for få minutter.
Duplikator virker ved at generere en ZIP-fil, der indeholder den tidligere version af hjemmesiden, sammen med en PHP fil med navnet installer.php. Alle et site admin har at gøre, er at uploade ZIP-arkiv og en fil med navnet installer.php på den nye server, adgang PHP fil, skal du indtaste nye database legitimationsoplysninger, og få den nye hjemmeside op og køre.
Også: Alvorlig sårbarhed udsætter WordPress hjemmesider til at angribe
Men i juli i år, to sikkerhedspolitiske forskere fra Synacktiv, Thomas Chauchefoin og Julien Legras, opdagede, at plugin ikke fjerne filer, der er tilbage, efter en succesfuld migration, herunder både den oprindelige ZIP-arkiv og PHP-fil.
Dette betyder, at en hacker kan få adgang til den installer.php script til enhver tid og indtaste sine egne DB legitimationsoplysninger for at opnå midlertidig kontrol over en hjemmeside, og indirekte over dens underliggende server.
Udfører en sådan operation, resulterer i brud på den nuværende hjemmeside, som stedet ville køre på toppen af angriberens rogue DB, men Synacktiv forskere siger, at i løbet af denne tid, kan angriberen få admin rettigheder over WordPress installation og installerer ondsindet WordPress plugins, der kan bruges til at droppe skjulte bagdøre på den underliggende server.
Website ejere, der opdager, at styrtede steder, og der kan ikke identificere kilden af hack eller udføre en korrekt hjemmeside, rensning, der ville fortsætte med at være vært for angriberen er skjult bagdør, selv efter at der er korrigeret forbindelsen til databasen spørgsmål eller geninstallation af deres sites.
Også: WordPress er brudt automatiske opdaterings funktion
Holdet bag Duplikator plugin fast, at denne sårbarhed på 24 August med udgivelsen af Duplikator 1.2.42, følgende Synacktiv ‘ s rapport. Alle tidligere versioner anses for at være påvirket.
Synacktiv offentliggjort en skrive-up beskriver fejlen på August 29, som også omfattede en proof-of-concept (PoC) script, der kan bruges til at kapre ramte områder, hvor admins ikke manuelt fjerne filer, der er tilbage, efter en Duplikator-baseret server migration.
“Vi oplevede en meget mærkbar uptick i scanninger for de sårbare Duplikator filer efter afsløringen gik offentlige,” Sean Murphy, Direktør for Threat Intelligence på Trodsige, selskabet bag WordFence sikkerhed plugin, fortalte ZDNet i et interview i går.
Flere forskere, der ikke ønsker at dele deres navne til dette stykke, fortalte ZDNet, at de fandt Duplikator plugin installeret på flere top Alexa sites.
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0