Hackere er at udnytte en gammel sårbarhed i en kommerciel WordPress plugin til at bryde ind i hjemmesider og anlæg bagdøre.
Igangværende angreb har været først opdaget i slutningen af sidste måned af hændelsen respondenter fra Trodsig, selskabet bag Wordfence WordPress firewall plugin.
Sårbarheden udnyttes i angreb påvirker “WP omkostningsvurdering & Betaling Former Builder,” en kommerciel WordPress plugin til opbygning af e-handel-centreret former, der har været til salg på CodeCanyon markedsplads for de sidste fem år.
I et interview med ZDNet, Trodsig Trussel Analytiker Mikey Veenstra sagde, at hackere bruger de hackede site, de undersøges for at kapre indgående trafik og omdirigere den til andre hjemmesider. Han kunne ikke udelukke, at angriberne misbruger bagdør for andre forbryderiske aktiviteter senere ned på linjen.
I en rapport offentliggjort på Wordfence officielle blog, Veenstra og hans kolleger brød ned i de tekniske detaljer i de udnyttet sårbarhed.
Han sagde, at hackere blev misbrugt af en AJAX-relaterede fejl i plugin ‘ s upload-funktionalitet til at gemme filer med meningsløse udvidelser (såsom ngfndfgsdcas.tss) på udvalgte steder.
I andet trin af udnyttelse rutine, angriberne ville derefter uploade en .htaccess fil, der er forbundet ikke-standard fil forlængelse med webstedet PHP-tolk, der sikrer, at når de ville senere få adgang til filen, PHP kode, der er indeholdt i vil udføre og aktivere bagdør.
I andre tilfælde Veenstra og hans kolleger undersøgt, angriberne udnyttes en anden af plugin ‘ s AJAX-relaterede funktioner til at slette et site config og re-konfigurere den til at bruge deres ondsindede database.
Alle WP omkostningsvurdering versioner før v9.644 er sårbare over for disse angreb, i henhold til Wordfence. Den gode nyhed er, at de udvikler rettet fejlen med udgivelsen af v9.644 i oktober 2018, efter en bruger klaget over at have deres site hacket.
Den dårlige nyhed er, at bygherren ikke offentliggøre dette sikkerhedsproblem uden for en kort omtale i et nu-begravet CodeCanyon kommentar, forlader de fleste af hans brugere uvidende om den fare, de kan være i.
Ifølge CodeCanyon, dette plugin er blevet købt af mere end 11.000 brugere. Men, CodeCanyon scripts og plugins er ofte piratkopieret og gjort gratis tilgængelig på hundredvis af andre steder på nettet, og antallet af real-world anlæg er meget højere.
Veenstra og Wordfence holdet er stadig på udkig i størrelse og rækkevidde af disse angreb. Bagdøre, at udføre skjulte omdirigeringer er normalt en del af det arsenal af cyber-kriminelle bander, der opererer ondsindet botnet, så hacks misbruger dette plugin fejl kan have stået på i et stykke tid, og på skalaen.
Kommercielle WordPress plugins og temaer, der er berygtet dårlige æbler. Web-sikkerhed eksperter anbefaler ofte mod at købe og bruge én, fordi de er ofte opgivet efter et par måneder eller år (se historien om den nu forladte Samlede Donationer plugin).
Udvikleren team bag kommercielle plugins og temaer, der heller ikke har mulighed for eller interesse i shipping opdateringer, som de er som regel mere fokuseret på at gøre en engangs-salg, og derefter flytte til et andet nyt plugin eller tema, hvor de kan få nye penge, snarere end at bruge deres tid på uproduktive måder, såsom at lappe fejl.
I dette tilfælde, udvikleren af WP omkostningsvurdering viste sig at være en meget mere pålidelig end den ene bag den forladte Samlede Donationer plugin.
Den Wordfence holdet, sagde, at de også udpeget en anden svaghed i WP omkostningsvurdering, som de privat videregivet til plugin forfatteren, og han havde det fast lige med det samme.
“Kommercielle plugins har evnen til at krogen ind i WordPress’ plugin-update-funktionen, men de er nødt til at give deres egen lager til at distribuere opdateringer,” Veenstra fortalte ZDNet i går. “Mange ikke gå denne vej.”
“I dette tilfælde [WP omkostningsvurdering] plugin korrekt, vises en opdatering i streg, og de udvikler nævnt, at være i stand til at skubbe en automatisk opdatering.”
ZDNet også bedt om Veenstra om et råd til WordPress site-ejere, når der tænker på at købe de kommercielle plugins eller temaer.
“For så vidt angår generel rådgivning går, jeg tror, den største lakmusprøven er udvikler lydhørhed,” Veenstra fortalte os. “På CodeCanyon især, hvis du ser en udvikler at reagere konstruktivt til spørgsmål, og spørgsmål i anmeldelser og kommentarer, det er et godt tegn, at de vil være modtagelige over for en offentliggørelse af sårbarheder og den patch proces, der følger efter.”
Relaterede sikkerhed dækning:
Microsoft februar Patch tirsdag rettelser 77 sikkerhedshuller, herunder DVS nul-dayDirty Sok sårbarhed lader angribere få root-adgang på Linux systemsMicrosoft: 70 procent af alle sikkerhed bugs er hukommelse sikkerhed spørgsmål
WordPress plugin fejl, kan du tage over hele sitesNew macOS sikkerhedshul kan ondsindede apps stjæle din Safari browserdata
Forskere skjule malware i Intel SGX enklaver
Google ønsker at betale $15,000 til at forbedre cloud-sikkerhed TechRepublicKRACK angreb: Her er hvordan virksomheder reagerer CNET
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre