Logotyp: Mailgun // Sammansättning: ZDNet
×
mailgun.png
E-post automation och leverans service Mailgun var en av många bolag som har hackat sig idag som en del av en massiv gemensam attack mot WordPress-sajter.
Attackerna utnyttjas en okorrigerad cross-site scripting (XSS) i en WordPress plugin som heter Yuzo Relaterade Inlägg.
Sårbarheten tillåtna hackare att injicera kod i utsatta platser, som de senare används för att omdirigera inkommande besökare till alla typer av obehagligheter, såsom teknisk support bedrägerier, webbplatser sysslat malware-fast uppdateringar till programvaran, eller vanlig ol’ skräppost sidor att visa annonser.
Lite teknisk info – omdirigeras till searchnotifyfriends dot info använda en WordPress plugin. Stor trafik spike till domän, från Cisco Paraply uppgifter: pic.twitter.com/nzsC5WQK0r
— Kevin Beaumont 🧝🏽♀️ (@GossiTheDog) April 10, 2019
Mailgun var bara en av slumpmässiga offer för dessa attacker, men inte den enda. Andra ägare har rapporterat liknande problem med sina webbplatser på plugin stöd forum på WordPress.org [1, 2, 3], och på andra web-dev diskussionsforum, såsom StackOverflow.
Forskare sjunkit zero-day exploit online utan varning
Dagens massiva dataintrång kampanj skulle ha kunnat undvikas om bara webbutvecklare som hittade Yuzo Realted Posts plugin sårbarhet skulle ha anmält frågan till författaren istället för att publicera proof-of-concept kod på nätet.
Som en följd av att denna proof-of-concept-kod är tillgänglig för alla, plugin togs bort från den officiella WordPress-Plugins-arkiv på samma dag, för att förebygga framtida nedladdningar tills en patch var att göras tillgängliga.
Detta är dock inte ta bort plugin från alla de platser runt om i världen, som alla är fortsatt sårbar. Vid tiden för dess avlägsnande, plugin hade redan installerade på mer än 60 000 platser, enligt officiella WordPress.org statistiken.
Saker och ting blev så desperat i dag i de tidiga timmarna av attacker som plugin författare uppmanas användare att “ta bort denna plugin direkt” från sina platser tills en uppdatering kommer att finnas tillgängliga.
Det är en grupp som kommer efter platser i WordPress
Enligt Trotsiga, företaget bakom WordPress brandvägg, hacka gruppen bakom dagens attacker är samma grupp som utnyttjade två noll-dagar på två andra plugins som i föregående veckor –nämligen i Lätt WP SMTP och Social Krigföring plugins.
“Utnyttjar hittills har använt ett skadligt skript värd på hellofromhony[.]org, som löser 176.123.9[.]53,” sade Dan Moen, Trotsiga forskare. “Att samma IP-adress som används i Social Krigföring och Lätt WP SMTP-kampanjer”.
Samma samband mellan dagens kampanj och tidigare en inriktning på de två andra plugins också gjorts av säkerhet forskare vid Sucuri.
Mailgun inte svara på en begäran om kommentar innan denna artikel publicerades, men företaget tog bort den plugin och var igång igen inom två timmar för att upptäcka problemet på sin webbplats.
“Vårt program inklusive Mailgun Instrumentpanelen, Api: er och kundens data som lagras på vår plattform var inte påverkad av detta problem,” sade företaget i sin lägesrapport sida.
Mer sårbarhet rapporter:
Forskare skriver “PWNED!” på hundratals GPS-klocka ” kartor på grund av ofixerade APITens av de tusentals bilar som var kvar utsatt för tjuvar på grund av en hårdkodade lösenord
Sårbarheten finns i Xiaomi telefoner ” förinstallerad säkerhet appBackdoor koden som finns i populära Bootstrap-Sass Ruby libraryMicrosoft April Patch tisdag kommer med korrigeringar för två Windows-noll-daysResearcher publicerar Google Chrome utnyttja på GitHubDJI åtgärdar säkerhetsproblem som gör att hackare spy på drönare CNETTop 10 appen sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter