×
wp-smtp.png
Två it-säkerhet-företag som tillhandahåller brandvägg plugins för WordPress webbplatser som har upptäckts attacker missbruka en noll-dag sårbarhet i populära WordPress-plugin.
Minst två hacker grupper har observerats att missbruka noll-dag för att ändra inställningar, skapa oseriösa admin-konton för att använda som bakdörrar, och sedan kapning av trafik från den hackade webbplatser.
Plugin zero-day utnyttjas innan patch
Zero-day missbrukas av dessa två grupper finns i “Lätt WP SMTP,” en WordPress plugin med över 300 000 aktiva installationer. Plugin: s viktigaste funktion är att låta markägarna konfigurera SMTP-inställningarna på sin webbplats server för utgående e-post.
Attacker missbruka detta zero-day var först såg förra fredag, Mars 15, NinTechNet, företaget bakom Ninja Brandvägg för WordPress.
Frågan var rapporterade till plugin författare, som lappade noll-dag på söndag, 17 Mars, med lanseringen av v1.3.9.1.
Attacker stoppa inte, men, men de fortsatte under hela veckan, med hackare som försöker ta över så många platser som de kunde innan webbplatsägare satte på plåstret.
Hur attacker ovikt
Trotsiga, cyber-bevakningsföretag som sköter Wordfence WordPress firewall, sa att det fortsatte att upptäcka attacker även efter korrigeringen. I en rapport som publicerades tidigare idag, bolaget gick sönder hur de två hacker grupper drivs.
Enligt Trotsiga, attacker utnyttjas en inställningar för import/export funktion som lades till till Easy-WP SMTP-plugin i version 1.3.9. Trotsiga sa att hackare finns en funktion som en del av detta nya import/export funktion som tillät dem att ändra en webbplats totala inställningar, inte bara de som är relaterade till plugin.
Hackare för närvarande söka efter webbplatser som använder denna plugin och sedan ändra inställningarna för att aktivera registrering av användare, en operation som många WordPress webbplats ägare har stängt av säkerhetsskäl.
Under den inledande attacker fläckig av NinTechNet, hackare modifierade “wp_user_roles” alternativ som styr behörigheter i “abonnenten” roll på WordPress webbplatser, som ger en abonnent samma förmågor i ett admin konto.
Detta innebär att hackare som vill registrera nya konton som dök upp som abonnenter i WordPress webbplats: s databas, men egentligen hade de behörigheter och förmågor för ett administratörskonto.
I efterföljande attacker upptäcks av Trotsiga, hackare bytte deras modus operandi och började ändra “default_role” inställning istället för “wp_user_roles”. Denna inställning kontrollerar den typ av konto som nyligen registrerade användare. I denna nya attack, alla nyskapade konton admin-konton.
Den sista attacken rutin är nu ett av de två hacker grupper, enligt Trotsig.
“Både av de kampanjer lansera sina första attacker på samma sätt, med hjälp av proof of concept (PoC) utnyttja detaljerad i NinTechNet ursprungliga utlämnande av sårbarhet. Dessa attacker match PoC exakt, ner till kontrollsumma,” sade Trotsiga säkerhet forskare Mikey Veenstra.
Men det är där likheterna mellan de två grupperna slutet. Trotsiga sagt den första av de två grupper som stoppar all aktivitet efter att skapa en bakdörr admin konto på hackade webbplatser, medan den andra gruppen är mycket mer aggressiv.
Veenstra sade denna andra grupp ändrar hackade webbplatser för att omdirigera inkommande besökare till skadliga webbplatser, med de vanligaste temat att vara teknisk support bluff webbplatser.
Fastställande utsatta platser
Alla webbplatser som använder Easy-WP SMTP-plugin rekommenderas att uppdatera till den senaste versionen, v1.3.9.1. Efter uppdatering av plugin, både NinTechNet och Trotsig rekommenderar revision en webbplats användaren avsnitt för nytillkomna konton-både på abonnenten och admin nivåer.
Uppdatera till den senaste plugin version som rekommenderas, eftersom WordPress bevakningsföretag Vit Gran Design, som också publicerade en rapport om dessa attacker, har också dokumenterats i andra säkerhetsbrister i samma plugin som kan få missbrukas [1, 2, 3, 4].
I allt detta, en svart boll går till WordPress moderator-teamet, som tycks ha varit mer upptagna med forum användare med hjälp av “zero-day” som term för att beskriva denna sårbarhet och den pågående attacker.
WordPress forum måtta team har en lång historia av att censurera och tonar ner frågor om säkerhet och attacker, vilket gör att användarna av några plugins i mörker om unpatched sårbarheter och pågående attacker, ämnen som vissa gånger få bort från WP-forum.
En rapport från it-säkerhetsföretaget Sucuri detta år visade att 90 procent av alla hackade content management system (CMSes) är WordPress webbplatser.
Mer sårbarhet rapporter:
Svår säkerhet bugg som finns i populära PHP-bibliotek för att skapa PDF-filesMicrosoft Mars Patch tisdag kommer med korrigeringar för två Windows-noll-dagar
Google Foton sårbarhet kan ha låtit hackare hämta bild metadataMicrosoft att fixa en “ny bugg klass’ upptäckt av Google engineerFujitsu trådlöst tangentbord modell utsatta tangenttryckning injektion attacksProof-of-concept kod publicerad för Windows 7 noll-dayDJI åtgärdar säkerhetsproblem som gör att hackare spy på drönare CNETTop 10 appen sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter