×
wp-smtp.png
Due cyber-security, società di fornitura di firewall plugin WordPress per siti hanno rilevato la presenza di attacchi di abusare di una vulnerabilità zero-day in un popolare plugin di WordPress.
Almeno due gruppi di hacker, sono stati osservati abuso di zero-giorno per modificare le impostazioni del sito, creare canaglia account di amministrazione da utilizzare come backdoor e quindi di dirottamento del traffico da siti violati.
Plugin zero-day sfruttata prima patch
Il giorno zero abusi da parte di questi due gruppi risiede in “Easy WP SMTP,” un plugin per WordPress, con oltre 300.000 installazioni attive. Il plugin caratteristica principale è quella di consentire ai proprietari del sito configurare le impostazioni SMTP del sito del server e-mail in uscita.
Attacchi di abusare di questo zero-day sono stati avvistati venerdì scorso, 15 Marzo, da NinTechNet, la società dietro il Ninja Firewall per WordPress.
Il problema è stato segnalato al plugin autore, che patchato il giorno zero di domenica 17 Marzo, con la versione di v1.3.9.1.
Gli attacchi non si è fermata, però, ma hanno continuato per tutta la settimana, con gli hacker cercano di dare come molti siti, come si può prima che i proprietari di siti applicato la patch.
Come attacchi spiegato
Ribelle, la cyber-sicurezza ditta che gestisce il Wordfence WordPress firewall, ha detto che ha continuato a rilevare gli attacchi, anche dopo la patch. In un rapporto pubblicato oggi, l’azienda si è rotto (come i due gruppi di hacker operato.
Secondo Defiant, attacchi di sfruttare una delle impostazioni di esportazione/importazione caratteristica che è stata aggiunta alla Semplice WP SMTP plugin in versione 1.3.9. Defiant ha detto hacker trovato una funzione parte di questa nuova funzionalità di importazione/esportazione che ha permesso loro di modificare un sito di configurare le impostazioni generali, non solo quelli relativi al plugin.
Gli hacker attualmente effettuate per i siti utilizzando questo plugin e quindi modificare le impostazioni per consentire la registrazione dell’utente, un’operazione che molti di WordPress i proprietari del sito hanno disabilitato per motivi di sicurezza.
Durante attacchi iniziali, macchiato da NinTechNet, gli hacker modificato la “wp_user_roles” opzione che controlla i permessi di “abbonato” ruolo su siti WordPress, dando un abbonato le stesse capacità di un account di amministratore.
Questo significa che gli hacker registrare nuovi account che è apparso come abbonati in WordPress database del sito, ma in realtà aveva le autorizzazioni e le abilità di un account di amministratore.
Nei successivi attacchi rilevati da Ribelle, hacker acceso il loro modus operandi e iniziò a modificare la “default_role” piuttosto che il “wp_user_roles”. Questa impostazione controlla il tipo di account di nuovi utenti registrati. In questo nuovo attacco, tutti i nuovi account creati sono account admin.
Questo ultimo attacco di routine è uno dei due gruppi di hacker, secondo Provocatorio.
“Entrambe le campagne di lanciare i loro attacchi iniziali, in modo identico, utilizzando il proof of concept (PoC) usare la cartina in NinTechNet originale divulgazione delle vulnerabilità. Questi attacchi corrispondere al PoC esattamente, verso il checksum”, ha detto Sprezzante ricercatore di sicurezza Mikey Veenstra.
Ma questo è dove le somiglianze tra i due gruppi fine. Defiant ha detto che il primo dei due gruppi si interrompe qualsiasi attività dopo la creazione di una backdoor account admin su siti compromessi, mentre il secondo gruppo è molto più aggressivo.
Veenstra detto questo secondo gruppo modifica hacked siti per reindirizzare i visitatori in arrivo a siti dannosi, con il tema più comune in fase di supporto tecnico di siti truffa.
Fissaggio siti vulnerabili
Tutti i siti che utilizzano il Facile WP SMTP plugin si consiglia di aggiornare all’ultima versione v1.3.9.1. Dopo l’aggiornamento del plugin, sia NinTechNet e Sfida consigliamo di effettuare la verifica di un utente del sito la sezione per i nuovi account, sia presso il sottoscrittore e admin livelli.
L’aggiornamento alla versione più recente del plugin è raccomandato, come WordPress ditta di sicurezza di Abete Bianco di Design, che ha anche pubblicato un rapporto su questi attacchi, documentati anche altre falle di sicurezza nello stesso plugin che potrebbe avere abusato [1, 2, 3, 4].
In tutto questo, una palla nera va al di WordPress moderatore del forum di squadra, che sembra essere stato più preoccupato per gli utenti del forum utilizzando il “giorno zero” termine per descrivere questa vulnerabilità e attacchi continui.
WordPress forum team di moderazione ha una lunga storia di censurare e di minimizzare i problemi di sicurezza e gli attacchi, lasciando gli utenti di alcuni plugin all’oscuro di queste vulnerabilità e attacchi continui, argomenti che alcune volte vengono rimossi dal forum di WP.
Un rapporto pubblicato da cyber-sicurezza ditta Sucuri di quest’anno ha rivelato che il 90 per cento di tutti i hacked sistemi di gestione dei contenuti (Cms) sono siti WordPress.
Più vulnerabilità di report:
Grave bug di sicurezza popolare libreria PHP per la creazione di PDF filesMicrosoft Marzo martedì delle Patch viene fornito con correzioni per due Windows zero-day
Google Foto di vulnerabilità potuto permettere hacker recuperare immagine metadataMicrosoft per risolvere romanzo di bug classe’ scoperto da Google engineerFujitsu tastiera wireless modello vulnerabili di battitura iniezione attacksProof-of-concept code pubblicato per Windows 7 da zero dayDJI correzioni di vulnerabilità che consentono di potenziali hacker spiare droni CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati