Nul
Aanvallers zijn het scannen voor WordPress sites waarop een kwetsbare versie van een populaire plugin die kan hen in staat stellen over te nemen van sites en servers.
De kwetsbaarheid van invloed “Duplicator,” een WordPress plugin die is geïnstalleerd op meer dan een miljoen websites, volgens de statistieken vermeld op de officiële WordPress Plugins directory. De plugin is populair omdat het de mogelijkheid biedt de site admins migreren sites naar nieuwe servers binnen enkele minuten.
Duplicator werkt door het genereren van een ZIP-bestand met de vorige versie van de site, samen met een PHP-bestand met de naam installer.php. Alle een site admin hoeft te doen is het uploaden van de ZIP-archief en een bestand met de naam installer.php op de nieuwe server de PHP-bestand, voert u de nieuwe database referenties, en hebben de nieuwe site up and running.
Ook: Ernstige kwetsbaarheid bloot WordPress websites aan te vallen
Maar in juli van dit jaar, twee beveiligingsonderzoekers van Synacktiv, Thomas Chauchefoin en Julien Legras, ontdekte dat de plugin verwijdert de bestanden niet over is na een succesvolle migratie, met inbegrip van zowel de originele ZIP-archief-en PHP-bestand.
Dit betekent dat een aanvaller kan toegang krijgen tot de installer.php script op elk moment en voer zijn eigen DB referenties te krijgen tijdelijk de controle over een website, en indirect via de onderliggende server.
Het uitvoeren van een dergelijke operatie resultaten in het breken van de huidige website, de site zou lopen op de top van de aanvaller schurk DB, maar Synacktiv onderzoekers zeggen dat in deze tijd, kan de kwaadwillende gebruiker admin rechten over de WordPress-installatie en het installeren van kwaadaardige WordPress plugins die kunnen worden gebruikt voor het neerzetten van verborgen backdoors op de onderliggende server.
Site-eigenaren die ontdekken crashte sites en die niet kunnen identificeren van de bron van de hack of het uitvoeren van een goede website clean-up operaties zouden blijven hosten van de aanvaller verborgen achterdeur, zelfs na correctie van de verbinding met de database probleem of opnieuw installeren van hun sites.
Ook: WordPress is gebroken automatische update functie
Het team achter de Duplicator plugin opgelost deze kwetsbaarheid op 24 augustus met de release van de Duplicator 1.2.42, volgende Synacktiv verslag. Alle vorige versies te worden beschouwd beïnvloed.
Synacktiv gepubliceerd van een write-up waarin de bug op augustus 29, die ook een proof-of-concept (PoC) script dat kan worden gebruikt voor het kapen van de betreffende sites waar admins niet handmatig verwijderen van de bestanden die overblijven nadat een Duplicator-server migratie.
“We zagen een zeer merkbare stijging in de scans voor de kwetsbare Duplicator bestanden na de onthulling ging het publiek,” Sean Murphy, Directeur van Threat Intelligence bij Uitdagend, het bedrijf achter de WordFence security plugin, vertelde ZDNet in een interview gisteren.
Verschillende onderzoekers die niet willen delen met u hun namen voor dit stuk verteld ZDNet dat zij de Complete plugin geïnstalleerd op verschillende Alexa top sites.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0