Nul
Hackers hebben misbruikt –en zijn momenteel te exploiteren– een nu-patched zero-day kwetsbaarheid in een populaire WordPress plugin installeren van achterdeuren en de overname van sites.
De kwetsbaarheid van invloed op WP GDPR Compliance, een WordPress plugin die helpt site-eigenaren geworden GDPR voldoet. De plugin is een van de meest populaire GDPR thema en plugins op de WordPress Plugins directory, met meer dan 100.000 actieve installeert.
Ongeveer drie weken geleden, aanvallers lijken te hebben ontdekt een beveiligingslek in deze plugin en begon te gebruiken om toegang te krijgen tot WordPress sites en backdoor te installeren scripts.
De eerste berichten over gehackte sites werden gemaakt in een andere plugin support forum, maar die plugin bleek te zijn geïnstalleerd als tweede-fase lading op een aantal van de gehackte sites.
Na het onderzoek wordt geleid door het WordPress security team, de bron van de hacks was uiteindelijk terug te voeren op WP GDPR Naleving, dat was de gemeenschappelijke plugin geïnstalleerd op alle meldingen van besmette sites.
Het WordPress team verwijderd van de plugin van de officiële map Plugins van eerder deze week, nadat ze ontdekt verschillende veiligheidsproblemen in de code, die zij geloofden, waren de oorzaak van de gerapporteerde hacks.
De plugin werd hersteld, twee dagen geleden, maar pas nadat de auteurs vrijgegeven versie 1.4.3, die patches voor de gerapporteerde problemen.
Aanvallen zijn nog steeds gaande
Maar ondanks de correcties, aanvallen op sites nog actief versies 1.4.2 en ouder zijn nog steeds gaande, volgens de security-experts van Uitdagend, een bedrijf dat draait op de Wordfence firewall plugin voor WordPress sites.
Het bedrijf analisten zeggen dat ze blijven het detecteren van aanvallen die proberen te exploiteren één van de gerapporteerde WP GDPR Compliance problemen met de beveiliging.
In het bijzonder, aanvallers zijn gericht op een WP GDPR Naleving bug die hen in staat stelt om te bellen naar een van de plugin interne functies en wijzig de instellingen voor zowel de plugin, maar ook voor de hele WordPress CMS.
De Wordfence team zegt ze heb gezien twee soorten aanvallen met behulp van deze bug. Het eerste scenario gaat als volgt:
Hackers gebruiken bug om de site te openen door de gebruiker van een systeem voor de registratie.Hackers gebruiken bug instellen van de standaard rol voor nieuwe accounts aan ‘administrator’.Hackers registreren van een nieuwe account, die wordt automatisch een beheerder. Deze nieuwe account is meestal de naam “t2trollherten.”Hackers terug standaard gebruikers rol voor nieuwe accounts ” – abonnee.”Hackers uitschakelen van de openbare gebruiker te registreren.Hackers melden in hun nieuwe admin account.Vervolgens zijn ze verder gaan met het installeren van een backdoor op de site, als een bestand met de naam wp-cache.php.
Deze backdoor-script (GUI hieronder afgebeeld) bevat een file manager, terminal emulator, en een PHP-functie eval() loper, en Wordfence zegt dat “een script als deze op een website kan een aanvaller het implementeren van meer laadvermogen.”
Afbeelding: Uitdagend
Maar deskundigen ook ontdekt een tweede type van de aanval, die niet afhankelijk is van het creëren van een nieuwe admin account, die kunnen worden gespot door de gehackte site-eigenaar.
Deze tweede en vermoedelijk meer stil techniek maakt gebruik van de WP GDPR Naleving bug toevoegen van een nieuwe taak te WP-Cron, WordPress’ ingebouwde taakplanner.
De hackers’ cron job downloadt en installeert de 2MB Autocode plugin, die aanvallers later gebruiken om te uploaden andere backdoor script op de site, ook met de naam wp-cache.php maar dat verschilt van het hierboven vermelde.
Maar terwijl hackers geprobeerd om dit tweede exploitatie scenario meer stil dan de eerste, het was, in feite, is deze techniek die hebben geleid tot de zero-day ontdekking.
Dit gebeurde omdat op sommige sites, hackers’ exploitatie routine mislukt verwijderen van de 2MB Autocode plugin. Site-eigenaren zag een nieuwe plugin verscheen op hun sites en slaat de paniek toe.
Het was, in feite, op deze plugin WordPress support forum dat site-eigenaren eerste geklaagd over gehackte sites, en de aanleiding tot het onderzoek dat leidde terug naar de WP GDPR Naleving plugin.
Aanvallers zijn het hamsteren van gehackte sites
Nu, de aanvallers niet iets te doen kwaadaardige met de gehackte sites, volgens de Wordfence team.
Hackers zijn gewoon de opslag gehackte sites, en Wordfence heeft niet gezien dat ze proberen te implementeren iets schadelijke via de achterdeur scripts, zoals SEO spam, exploit kits, malware of andere soorten van slechtheid.
Site-eigenaren gebruiken de WP GDPR Naleving plugin nog tijd hebben om te werken of te verwijderen van de plugin van hun sites en maak de achterdeuren die zijn achtergelaten. Zij moeten dit doen vóór hun site heeft een hit op het gebied van zoekmachine rankings, die meestal gebeurt na Google gevonden malware op hun domeinen tijdens de reguliere scans.
Meer zekerheid:
WordPress, WooCommerce gebreken combineren om de website kaping
Linux cryptocurrency mijnwerkers zijn het installeren van rootkits om zichzelf te verbergen,Adobe ColdFusion-servers onder aanval van APT groepCisco verwijderd zijn zevende backdoor-account van dit jaar, en dat is een goede zaakIoT botnet infecteert de 100.000 routers te verzenden uit Hotmail, Outlook, Yahoo, spamWPA3 Wi-Fi is hier, en het is moeilijker om te kraken CNETHackers schending StatCounter te kapen Bitcoin transacties op de deur.io exchangeWebsites worden aangevallen 58 keer per dag, zelfs als patch goed TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0