Noll
Hackare utnyttjade –och är för närvarande att fortsätta utnyttja– nu-lappade noll-dag sårbarhet i en populär WordPress plugin att installera bakdörrar och ta över webbplatser.
Sårbarheten påverkar WP GDPR Överensstämmelse, en WordPress plugin som hjälper webbplatsägare att bli GDPR kompatibel. Plugin är ett av de mest populära GDPR tema och plugins för WordPress Plugins-katalog med över 100 000 aktiva installationer.
För cirka tre veckor sedan, anfallare verkar ha upptäckt en sårbarhet i detta plugin och började använda det för att få tillgång till WordPress webbplatser och installera bakdörr skript.
De första rapporterna om hackade webbplatser gjordes i en annan plugin stöd forum, men det plugin som kan visa sig ha varit installerad som en andra etapp av nyttolast på några av de hackade webbplatser.
Efter utredningar som leds av WordPress säkerhet lag, källan till den hackar så småningom spåras tillbaka till WP GDPR Överensstämmelse, som var den vanliga plugin installerad på alla rapporterade äventyras webbplatser.
WordPress team bort plugin från den officiella Plugins katalogen tidigare i veckan efter att de har identifierat flera säkerhetsfrågor inom dess kod, som de trodde var orsaken till de rapporterade hacka.
Plugin återinsattes för två dagar sedan, men endast efter dess upphovsmän släppt version 1.4.3, som innehöll patchar för rapporterade problem.
Attacker pågår fortfarande
Men trots de korrigeringar, attacker på webbplatser som fortfarande kör versioner 1.4.2 och äldre pågår fortfarande, enligt säkerhetsexperter från Trotsiga, ett företag som driver Wordfence brandvägg plugin för WordPress webbplatser.
Bolagets analytiker säger att de fortsätter att upptäcka attacker som försöker att utnyttja en av de rapporterade WP GDPR Överensstämmelse säkerhetsfrågor.
I synnerhet, attacker är riktade en WP GDPR Överensstämmelse bugg som gör det möjligt för dem att ringa ett samtal till en av plugin interna funktioner och ändra inställningar för både plugin, men också för hela WordPress CMS.
Den Wordfence team säger att de har sett två typer av attacker med hjälp av denna bugg. Det första scenariot går så här:
Hackare använder fel för att öppna webbplatsen för användarens registrering system.Hackare använder fel för att ställa in förvald roll för nya konton till “administratör.”Hackare registrera ett nytt konto som automatiskt blir en administratör. Detta nya konto är oftast heter “t2trollherten.”Hackare tillbaka standardanvändare roll för nya konton för att “abonnenten.”Hackare inaktivera offentlig registrering av användare.Hackare logga in deras nya admin-konto.De fortsätter sedan med att installera en bakdörr på platsen, som en fil med namnet wp-cache.php.
Denna bakdörr script (GUI bilden nedan) innehåller en filhanterare, terminal emulator, och en PHP-eval () – funktion löpare, och Wordfence säger att “ett manus som detta på en webbplats kan tillåta en angripare att distribuera ytterligare last vid kommer.”
Bild: Trotsig
Men experter upptäckte också en annan typ av attack, som inte förlitar sig på att skapa en ny admin-konto, som kan upptäckas av den hackade webbplatsens ägare.
Det andra och förmodligen mer tyst teknik innebär att man använder WP GDPR Överensstämmelse bugg för att lägga till en ny uppgift till WP-Cron, WordPress inbyggda schemaläggaren.
Hackare ” cron-jobb hämtar och installerar 2MB Autocode plugin som angripare att använda senare för att ladda upp en annan bakdörr script på webbplatsen, som också heter wp-cache.php men som skiljer sig från den som beskrivs ovan.
Men medan hackare försökt att göra denna andra exploatering scenario mer tyst än den första, det var i själva verket är denna teknik som lett till zero-day ‘ s discovery.
Detta hände därför att, på vissa platser, hackare’ exploatering rutin misslyckades med att ta bort 2MB Autocode plugin. Webbplatsägare såg en ny plugin dök upp på sina platser och fick panik.
Det var, i själva verket, denna plugin WordPress support forum som webbplatsägare första klagade hackade webbplatser, och utlöste den utredning som ledde tillbaka till WP GDPR Överensstämmelse plugin.
Angriparna lagring hackade webbplatser
Just nu angriparna tycks inte vara att göra något skadligt med den hackade webbplatser, enligt Wordfence team.
Hackare är bara lagring hackade webbplatser, och Wordfence har inte sett dem försöka att använda något skadligt bakvägen skript, till exempel SEO-spam, exploit kit, malware, eller andra typer av ondska.
Webbplatsägare använder WP GDPR Överensstämmelse plugin fortfarande har tid att uppdatera eller ta bort plugin från sina platser och rengör alla bakdörrar som har blivit kvar. De bör göra detta innan deras webbplats tar en hit i form av rankning hos sökmotorerna, som oftast händer när Google hittar skadlig kod på sina domäner under sin regelbundna genomsökningar.
Mer trygghet:
WordPress, WooCommerce brister kan kombineras för att tillåta webbplats kapning
Linux cryptocurrency gruvarbetare installerar rootkits för att dölja sig självaAdobe ColdFusion servrar under attack från APT-gruppenCisco bort sin sjunde bakdörr konto i år, och det är en bra sakIoT botnet infekterar 100,000 routrar för att skicka Hotmail, Outlook, Yahoo och spamWPA3 Wi-Fi finns här, och att det är svårare att hacka CNETHackare bryter mot StatCounter för att kapa Bitcoin transaktioner på Porten.io utbyteWebbplatser som attackeras 58 gånger per dag, även när lagas ordentligt TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0