Hackare utnyttjar ett gammalt sårbarhet i en kommersiell WordPress plugin för att bryta in på webbplatser och anläggning bakdörrar.
Pågående attacker har varit spotted först i slutet av förra månaden av incident responders från Trotsiga, företaget bakom Wordfence WordPress brandvägg.
Sårbarheten utnyttjas i-attacker drabbar “WP kostnadsberäkning & Betalning Former Builder,” en kommersiell WordPress plugin för att bygga e-handel-centrerad former som har varit till försäljning på CodeCanyon marknadsplats för de senaste fem åren.
I en intervju med ZDNet, Trotsiga Hot Analytiker Mikey Veenstra sa att hackare skulle använda den hackade sajten som de undersöktes för att kapa inkommande trafik och omdirigera den till andra webbplatser. Han ville inte utesluta angriparna missbrukar bakdörr för andra illvilliga aktiviteter senare ner linjen.
I en rapport som publicerades på Wordfence officiella blogg, Veenstra och hans kollegor bröt ner de tekniska detaljerna utnyttjas sårbarheten.
Han sa att hackare skulle missbruka en AJAX-relaterade fel i plugin ladda upp funktioner för att spara filer med meningslösa utökningar (till exempel ngfndfgsdcas.tss) på utvalda anläggningar.
I ett andra steg av exploatering rutin, angripare skulle sedan ladda upp en .htaccess-fil som förknippas icke-standard filändelse med webbplatsens PHP-tolken, se till att när de skulle senare komma åt filen, PHP-kod som finns inom skulle köra och aktivera den bakdörr.
I andra fall Veenstra och hans kollegor undersöker angripare utnyttjas annan plugin ‘ s AJAX-funktioner för att ta bort en webbplats config och konfigurera det att använda deras skadliga databas.
Alla WP kostnadsberäkning versioner innan v9.644 är utsatta för dessa attacker, enligt Wordfence. Den goda nyheten är att utvecklaren fixar felet med lanseringen av v9.644 i oktober 2018, efter att en användare har klagat på att deras webbplats hacka.
Den dåliga nyheten är att utvecklaren inte offentliggöra detta säkerhetsproblem utanför ett kort omnämnande i en numera begravd CodeCanyon kommentar, lämnar de flesta av sina användare ovetande om den fara som de kan vara i.
Enligt CodeCanyon, plugin har köpts av mer än 11 000 användare. Men CodeCanyon manus och plugin-program ofta är piratkopierade och görs tillgänglig för gratis på hundratals andra platser på nätet, och antalet verkliga installationer är mycket högre.
Veenstra och Wordfence laget är fortfarande tittar in storlek och räckhåll för dessa attacker. Bakdörrar som utför dolda omdirigeringar är oftast en del av den arsenal av cyber-kriminella gäng som är verksamma skadliga botnät, så hacka missbruka detta plugin fel kan ha pågått ett tag, och i stor skala.
Kommersiella WordPress plugins och teman som är ökänt dåliga äpplen. Web security experter rekommenderar ofta mot att köpa och använda, eftersom de är ofta överges efter några månader eller några år (se berättelse om den numera övergivna Totalt Donationer plugin).
Utvecklaren team bakom kommersiella plugins och teman som inte har möjlighet eller intresse i frakt uppdateringar, som de är ofta mer fokuserade på att göra en en-gång-försäljning och sedan flytta till en annan ny plugin eller tema från där de kan tjäna pengar, snarare än att spendera sin tid i improduktiva sätt som korrigerar buggar.
I detta fall, utvecklare av WP kostnadsberäkning föreföll att vara mycket mer pålitlig än den ena bakom den övergivna Totalt Donationer plugin.
Den Wordfence team sade att de också identifierat ett andra säkerhetsproblem i WP kostnadsberäkning, som de privatägda lämnas ut till plugin författare och han hade det fixat.
“Kommersiella instick har möjlighet att ansluta till WordPress plugin uppdatering, men de behöver för att ge sina egna förrådet för att distribuera uppdateringar,” Veenstra berättade ZDNet igår. “Många vill inte gå den vägen.”
“I detta fall, [WP kostnadsberäkning] plugin korrekt visas en uppdatering i streck, och exploatören anges att kunna driva en automatisk uppdatering.”
ZDNet frågade också Veenstra om ett råd för WordPress webbplats ägare när man funderar på att köpa kommersiella plugins eller teman.
“Så långt som generella råd går, jag tror att den största avgörande provet är utvecklare lyhördhet,” Veenstra berättade för oss. “På CodeCanyon särskilt, om du ser en utvecklare att svara på ett konstruktivt sätt till frågor och frågor i recensioner och kommentarer, det är ett gott tecken på att de kommer att bli föremål för en sårbarhet utlämnande och patch process som följer.”
Relaterade förmåner:
Microsoft februari Patch tisdag fixar 77 säkerheten brister, inklusive DVS noll-dayDirty Strumpa sårbarhet låter angripare få root-åtkomst på Linux systemsMicrosoft: 70 procent av alla säkerhetsrelaterade buggar minne säkerhetsfrågor
WordPress plugin fel kan du ta över hela sitesNew macOS säkerhetsbrist kan skadliga appar stjäla din Safari historik
Forskare dölja skadlig kod i Intel SGX enklaver
Google vill betala dig $15,000 för att förbättra cloud security TechRepublicKRACK attack: Här är hur företagen hanterar CNET
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter