Nul
Hackere har udnyttet –og er i øjeblikket ved fortsat at udnytte– et nu lappet zero-day-sårbarhed i et populært WordPress plugin til at installere bagdøre og tage over websteder.
Sårbarheden påvirker WP GDPR Compliance, et WordPress plugin, som hjælper ejerne med at blive GDPR kompatibel. Dette plugin er en af de mest populære GDPR-tema og plugins i WordPress plugin mappe, med over 100.000 aktive installationer.
Omkring tre uger siden, angribere synes at have opdaget en sårbarhed i dette plugin, og begyndte at bruge det til at få adgang til WordPress sites og installere bagdør scripts.
De første rapporter om hackede hjemmesider blev lavet i en anden plugin ‘ s support forum, men det plugin viste sig at have været installeret som en second-stage nyttelast på nogle af de hackede sites.
Efter undersøgelser ledet af WordPress security team, kilden af hacks til sidst blev spores tilbage til WP GDPR Overholdelse, som var den fælles plugin installeret på alle rapporterede kompromitterede websteder.
WordPress teamet fjernet plugin fra den officielle Plugins mappe tidligere i denne uge, efter at de har identificeret en række sikkerhedsproblemer i sin kode, som de troede var årsag til de rapporterede hacks.
Plugin blev genindsat to dage siden, men først efter at dens forfattere har udgivet version 1.4.3, og som er indeholdt rettelser til de rapporterede problemer.
Angreb er stadig i gang
Men på trods af de rettelser, angreb på websteder, der stadig kører versioner 1.4.2 og ældre er stadig i gang, ifølge sikkerhedseksperter fra Trodsig, et firma, der kører Wordfence firewall plugin til WordPress sites.
Selskabets analytikere siger, at de er fortsat med at opdage angreb, der forsøger at udnytte et af de rapporterede WP GDPR Overensstemmelse sikkerhedsspørgsmål.
Især angribere er rettet mod en WP GDPR Overensstemmelse fejl, der giver dem mulighed for at foretage et opkald til en af plugin ‘ s interne funktioner og ændre indstillinger for både plugin, men også for hele WordPress CMS.
Den Wordfence team siger, at de har set to typer af angreb, ved hjælp af denne fejl. Det første scenarie går sådan her:
Hackere bruger fejl til at åbne webstedet brugerregistrering system.Hackere bruger fejl til at indstille standard rolle for nye konti til “administrator”.Hackere registrere en ny konto, der automatisk bliver en administrator. Denne nye konto er normalt hedder “t2trollherten.”Hackere sat tilbage standard bruger rolle for nye konti til “abonnent.”Hackere deaktiver offentlige bruger registrering.Hackere at logge ind på deres nye admin-konto.De kan derefter gå videre til at installere en bagdør på webstedet, som en fil med navnet wp-cache.php.
Denne bagdør script (GUI billedet nedenfor), der indeholder en fil manager, terminal-emulator, og en PHP eval() funktionen runner, og Wordfence siger, at “et script som dette på et site kan tillade en angriber at installere yderligere nyttelast i vil.”
Billede: Trodsig
Men eksperter, der også fundet en anden type af angreb, som ikke er afhængig af at skabe en ny admin-konto, der kan være plettet af den hackede hjemmeside ejere.
Denne anden og angiveligt mere stille, mere teknik, der indebærer at bruge WP GDPR Overensstemmelse bug for at tilføje en ny opgave til WP-Cron, WordPress’ indbyggede opgavestyring.
De hackere’ cron job henter og installerer den 2MB Autocode plugin, som angribere senere bruge til at uploade en anden bagdør script på sitet-også kaldet wp-cache.php, men forskelligt fra det, som beskrevet ovenfor.
Men mens hackere forsøgt at gøre denne anden udnyttelse scenarie mere stille end første, det var, i virkeligheden, er denne teknik, der førte til, at zero-day ‘ s discovery.
Dette skete, fordi vi på nogle steder, de hackere’ udnyttelse rutine kunne ikke slette 2MB Autocode plugin. Webstedsejere så en ny plugin dukkede op på deres websteder, og gik i panik.
Det var faktisk på dette plugin WordPress support forum, at ejerne først klagede over, om hackede websteder, og udløste den undersøgelse, der førte tilbage til WP GDPR Overensstemmelse plugin.
– Angribere er oplagring af hackede websites
Lige nu er angriberne ikke synes at gøre noget ondsindede med de hackede websteder, ifølge Wordfence team.
Hackere er bare oplagring hackede websteder, og Wordfence har ikke set dem, der forsøger at installere noget ondsindet gennem bagdøren scripts, som SEO spam, exploit kits, malware, eller andre former for ondskab.
Lodsejere ved hjælp af WP GDPR Overensstemmelse plugin stadig har tid til at opdatere eller fjerne plugin fra deres sites og rene nogen bagdøre, der er blevet efterladt. De skal gøre dette, før deres arbejdsplads tager et hit i form af søgemaskine placeringer, hvilket normalt sker efter, at Google finder malware på deres domæner i løbet af dets regelmæssige scanninger.
Mere sikkerhed dækning:
WordPress WooCommerce fejl kombineres for at give hjemmeside kapring
Linux cryptocurrency minearbejdere er installation af rootkits til at skjule sig selvAdobe ColdFusion-servere under angreb fra APT gruppeCisco fjernet sin syvende bagdør konto i år, og det er en god ting,IoT-botnet inficerer 100,000 routere til at sende Hotmail, Outlook, Yahoo spamWPA3 Wi-Fi er her, og det er sværere at hacke CNETHackere brud StatCounter til at kapre Bitcoin transaktioner på Porten.io udvekslingHjemmesider er angrebet 58 gange i døgnet, selv når lappet ordentligt TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0