Twee cyber-security bedrijven die firewall plugins voor WordPress sites hebben gedetecteerd aanvallen misbruik van een zero-day kwetsbaarheid in een populaire WordPress plugin.
Ten minste twee hacker groepen zijn waargenomen misbruik van zero-day te wijzigen site-instellingen, maken schurk admin accounts te gebruiken als backdoors, en dan het kapen van het verkeer van de gehackte sites.
Plugin zero-day benut voor patch
De zero-day misbruikt door deze twee groepen zich bevindt in “Easy WP SMTP,” een WordPress plugin, met meer dan 300.000 actieve installeert. De plugin is te laat-site-eigenaren configureert u de SMTP-instellingen van hun site server uitgaande e-mails.
Aanvallen misbruik te maken van deze zero-day werden voor het eerst gespot afgelopen vrijdag, 15 Maart, door NinTechNet, het bedrijf achter de Ninja Firewall voor WordPress.
Het probleem is gemeld aan de plugin auteur, die herstelde van de zero-day op zondag, 17 Maart, met de release van v1.3.9.1.
Aanvallen niet stoppen, maar, maar ze bleef gedurende de week, met hackers proberen over te nemen van zoveel websites als ze kunnen voor site-eigenaren toepassen van de patch.
Hoe aanvallen ongevouwen
Uitdagend, de cyber-security bedrijf wie beheert de Wordfence WordPress firewall, zei het bleef aanvallen detecteren, zelfs na de patch. In een rapport dat eerder vandaag, het bedrijf brak hoe de twee hacker groepen gewerkt.
Volgens Uitdagend, aanvallen misbruik wordt gemaakt van een instellingen export/import functie die is toegevoegd aan de Easy WP-SMTP-plugin versie 1.3.9. Opstandige zei hackers vonden een functie deel uit van deze nieuwe import/export-functie die konden ze om te wijzigen van een site is algemene instellingen, niet alleen die in verband met de plugin.
Hackers momenteel scan voor websites met behulp van deze plugin en wijzig vervolgens de instellingen voor het inschakelen van gebruikers-registratie, een operatie die vele WordPress site-eigenaren hebben een handicap voor de veiligheid.
Tijdens de eerste aanvallen gespot door NinTechNet, hackers gewijzigd, de “wp_user_roles’ – optie die bepaalt de bevoegdheden van de “abonnee” rol op WordPress-sites, het geven van een abonnee van dezelfde mogelijkheden van een admin-account.
Dit betekent dat hackers zouden het registreren van nieuwe accounts die verscheen als abonnees in de WordPress site in de database, maar eigenlijk had de rechten en mogelijkheden van een admin-account.
In de daaropvolgende aanvallen gedetecteerd door Uitdagend, hackers geschakeld hun modus operandi en begon met het wijzigen van de “default_role” instelling in plaats van de “wp_user_roles”. Deze instelling regelt u het type account van nieuw geregistreerde gebruikers. In deze nieuwe aanval, alle nieuw aangemaakte accounts admin accounts.
Dit laatste aanval routine is nu één van de twee hacker groepen gebruik, volgens de Defiant.
“Zowel van de campagnes lanceren hun eerste aanvallen op identiek dezelfde manier, met behulp van de proof of concept (PoC) te exploiteren gedetailleerde in NinTechNet de oorspronkelijke bekendmaking van de kwetsbaarheid. Deze aanvallen overeenkomen met de PoC precies, tot in het checksum,” zei Uitdagend security-onderzoeker Mikey Veenstra.
Maar dit is waar de overeenkomsten en verschillen tussen de twee groepen einde. Uitdagend, zei de eerste van de twee groepen stopt elke activiteit na het maken van een backdoor admin account op gehackte sites, terwijl de tweede groep is veel agressiever.
Veenstra zei deze tweede groep wijzigt gehackte sites omleiden van binnenkomende bezoekers naar schadelijke websites, met de meest voorkomende thema van de technische ondersteuning scam sites.
De vaststelling van kwetsbare sites
Alle sites die gebruik maken van de Easy WP-SMTP-plugin, worden aangeraden om te updaten naar de nieuwste versie, v1.3.9.1. Na de update van de plugin, zowel NinTechNet en Uitdagend raden controle van een site in de sectie gebruiker voor nieuw toegevoegde accounts –zowel bij de abonnee en admin niveaus.
Het bijwerken naar de nieuwste versie van plug-in wordt aanbevolen, als het WordPress security firma White Fir Ontwerp, die ook een rapport gepubliceerd over deze aanvallen, ook gedocumenteerd andere beveiligingsfouten in dezelfde plugin die misschien misbruikt [1, 2, 3, 4].
In dit alles, een zwarte bal gaat naar het WordPress forum moderator team, die lijkt te zijn meer bezig met het forum-gebruikers met behulp van de “zero-day” term voor dit probleem en de aanhoudende aanvallen.
Het WordPress forum moderatie team heeft een lange geschiedenis van censuur en het onvoldoende onderkennen van problemen met de beveiliging en aanvallen, waardoor gebruikers van een aantal plug-ins in het donker over ongepatchte kwetsbaarheden en lopende aanvallen, onderwerpen die enkele momenten verwijderd van de WP-forums.
Een rapport gepubliceerd door cyber-beveiligingsbedrijf Sucuri dit jaar bleek dat 90 procent van alle gehackte content management systemen (Cms) WordPress sites.
Meer kwetsbaarheid rapporten:
Ernstige security bug gevonden in de populaire PHP-bibliotheek voor het maken van PDF-filesMicrosoft Maart Patch dinsdag komt met oplossingen voor twee Windows zero-dagen
Google Foto ‘ s kwetsbaarheid te kunnen hackers halen beeld metadataMicrosoft op te lossen ‘roman bug klasse’ ontdekt door Google engineerFujitsu draadloos toetsenbord model kwetsbaar voor toetsaanslag injectie attacksProof-of-concept code gepubliceerd voor Windows 7 nul-dayDJI correcties kwetsbaarheid waarmee potentiële hackers spy drones op CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters