Zero
Gli hacker hanno sfruttato –e sono attualmente continuando a sfruttare– un ora di patch vulnerabilità zero-day in un popolare plugin di WordPress per installare backdoor e prendere sui siti.
La vulnerabilità riguarda WP GDPR di Conformità, un plugin per WordPress che aiuta i proprietari di siti diventano GDPR compatibile. Il plugin è uno dei più popolari GDPR a tema plugin su WordPress Plugin directory, con oltre 100.000 installazioni attive.
Circa tre settimane fa, gli aggressori sembrano aver scoperto una vulnerabilità in questo plugin e hanno cominciato a usando per ottenere l’accesso a siti WordPress e installare gli script backdoor.
I rapporti iniziali su siti compromessi sono stati fatti in un’altro plugin forum di supporto, ma che plugin si è rivelato essere stato installato come la seconda fase di carico su alcuni dei siti compromessi.
Dopo indagini hanno portato da WordPress security team, la fonte di hack finalmente è stata fatta risalire a WP GDPR di Conformità, che è stato il comune di plugin installato su tutti segnalati i siti compromessi.
Il team di WordPress rimosso il plugin dal sito ufficiale directory Plugins inizio di questa settimana dopo hanno identificato diversi problemi di sicurezza all’interno del suo codice, che hanno creduto sono stati la causa della segnalate hack.
Il plugin è stato reintegrato due giorni fa, ma solo dopo che i suoi autori hanno rilasciato la versione 1.4.3, che conteneva le patch per i problemi segnalati.
Gli attacchi sono ancora in corso
Ma nonostante le correzioni, attacchi a siti che eseguono versioni 1.4.2 e anziani sono ancora in corso, secondo gli esperti di sicurezza di Sfida, una società che gestisce il Wordfence firewall plugin per WordPress siti.
L’azienda gli analisti dicono che stanno continuando a rilevare gli attacchi che tentano di sfruttare uno dei segnalati WP GDPR Conformità problemi di sicurezza.
In particolare, gli aggressori si rivolge a un WP GDPR Conformità bug che permette loro di effettuare una chiamata a uno dei plugin funzioni interne e modificare le impostazioni per il plugin, ma anche per l’intero CMS WordPress.
Il Wordfence team dice di aver visto due tipi di attacchi tramite questo bug. Il primo scenario va come questa:
Gli hacker utilizzano bug per aprire il sito di utente del sistema di registrazione.Gli hacker utilizzano bug per impostare il valore predefinito di ruolo per i nuovi account “administrator”.Gli hacker registrare un nuovo account, che diventa automaticamente un amministratore. Questo nuovo account, di solito chiamato “t2trollherten.”Gli hacker set back utente predefinito ruolo per i nuovi account a “consumatore”.Gli hacker disattivare la registrazione degli utenti.Gli hacker di accedere al nuovo account di amministratore.Che poi procedere all’installazione di una backdoor sul sito, un file denominato wp-cache.php.
Questo script backdoor GUI (nella foto sotto) contiene un file manager, l’emulatore di terminale, e un PHP eval() funzione runner, e Wordfence dice che “uno script come questo su un sito può consentire a un utente malintenzionato di distribuire ulteriori carichi.”
Immagine: Defiant
Ma gli esperti, inoltre, rilevato un secondo tipo di attacco, che non si basa sulla creazione di un nuovo account admin, che potrebbe essere individuata dal sito compromesso proprietari.
Questo secondo e presumibilmente più silenzioso tecnica comporta l’uso di WP GDPR Conformità bug per aggiungere una nuova attività a WP-Cron, WordPress e’ built-in utilità di pianificazione.
Gli hacker’ cron job, scarica e installa il 2MB Autocode plugin, che gli aggressori da utilizzare in seguito per caricare un altro script backdoor sul sito, che è anche il nome wp-cache.php ma diverso da quello sopra indicato.
Ma mentre gli hacker provato a fare questa seconda sfruttamento scenario più silenzioso rispetto a prima, è stato, infatti, questa tecnica che ha portato alla zero-day scoperta.
Questo è accaduto perché, su alcuni siti, hacker’ sfruttamento di routine non è riuscito a eliminare la 2MB Autocode plugin. I proprietari del sito ha visto un nuovo plugin apparso sui loro siti e in preda al panico.
E ‘ stato, infatti, su questo plugin di WordPress forum di supporto che i proprietari del sito prima si è lamentato di siti compromessi, e ha attivato l’indagine che ha portato indietro al WP GDPR Conformità plugin.
Gli aggressori sono scorte di siti compromessi
Ora, gli attaccanti non sembrano essere facendo qualcosa di dannoso con i siti violati, secondo la Wordfence squadra.
Gli hacker sono solo scorte di siti compromessi, e Wordfence non ha visto un tentativo di distribuire qualcosa di dannoso attraverso la backdoor script, come SEO spam, kit di exploit, malware o altri tipi di cattiveria.
I proprietari del sito con la WP GDPR Conformità plugin ancora avuto tempo per aggiornare o rimuovere il plugin dai loro siti e pulire qualsiasi tipo di backdoor che sono stati lasciati alle spalle. Si dovrebbe fare questo prima che il loro sito prende un colpo in termini di posizionamento nei motori di ricerca, che di solito avviene dopo che Google rileva un malware sui loro domini, durante la sua scansioni regolari.
Più copertura di sicurezza:
WordPress, WooCommerce difetti si combinano per consentire il dirottamento del sito web
Linux cryptocurrency minatori sono l’installazione di rootkit per nascondere se stessiAdobe ColdFusion server sotto attacco da APT gruppoCisco tolto il suo settimo backdoor conto di questo anno, e che è una buona cosaIoT botnet infetta di 100.000 router per inviare Hotmail, Outlook e Yahoo spamWPA3 Wi-Fi è qui, ed è più difficile da hackerare CNETHacker violazione StatCounter di dirottare Bitcoin operazioni sul Gate.io cambioi Siti web sono attaccati 58 volte al giorno, anche quando patchato correttamente TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0