Logo: Mailgun // Sammensætning: ZDNet
×
mailgun.png
E-mail automatisering og levering Mailgun var en af de mange virksomheder, der har været hacket i dag som en del af et massivt koordineret angreb mod WordPress sites.
De angreb, der udnyttede et ikke-opdateret cross-site scripting (XSS) sårbarhed i et WordPress plugin ved navn Yuzo Relaterede Indlæg.
Sårbarheden lov hackere at injicere kode i sårbare steder, som de senere skal bruges til at omdirigere indgående besøgende til alle former for dårlige tilsætningsstoffer, såsom teknisk support svindel, websteder, nye malware-snøret software opdateringer, eller plain ol’ spamsider at vise annoncer.
Nogle tekniske info – omdirigeret til searchnotifyfriends dot info ved hjælp af et WordPress plugin. Store trafik spike til domæne, fra Cisco Paraply data: pic.twitter.com/nzsC5WQK0r
— Kevin Beaumont 🧝🏽♀️ (@GossiTheDog) April 10, 2019
Mailgun var bare en af tilfældige offer for disse angreb, men ikke den eneste. Andre lodsejere rapporteret om lignende problemer med deres sites på plugin ‘ s support forum på WordPress.org [1, 2, 3], og på andre web-dev diskussionsfora, som StackOverflow.
Forsker faldt zero-day exploit online uden advarsel
Dagens massive hacking kampagnen kunne have været undgået, hvis det kun er web-udvikler, der har fundet den Yuzo Realted Stillinger plugin sårbarhed ville have meldt spørgsmål til forfatteren i stedet for at offentliggøre proof-of-concept-kode online.
Som følge af, at dette proof-of-concept koden tilgængelig for alle, plugin blev fjernet fra den officielle WordPress Plugins opbevaringssted samme dag, som forhindrer fremtidige downloads, indtil en patch var til rådighed.
Men dette synes ikke at fjerne plugin fra alle steder rundt omkring i verden, der alle forblev sårbar. På tidspunktet for dens fjernelse, plugin havde været der allerede er installeret på mere end 60.000 steder, i henhold til officiel WordPress.org -statistik.
Tingene blev så desperate i dag i de tidlige timer af de angreb, der plugin ‘ s forfatter har opfordret brugerne til at “fjerne dette plugin med det samme” fra deres sites, indtil en opdatering vil være tilgængelig.
Der er en gruppe, der går efter WordPress sites
Ifølge Trodsig, firmaet bag WordPress firewall plugin, hacking gruppen bag dagens angreb er det samme gruppe, der udnyttes to nul-dage i to andre plugins i de foregående uger –nemlig i Let WP SMTP og Sociale Krigsførelse plugins.
“Udnytter hidtil har brugt et skadeligt script, der er hostet på hellofromhony[.]org, der løser 176.123.9[.]53,” sagde Dan Møn, Trodsig forsker. “Den samme IP-adresse blev brugt i den Sociale Krigsførelse og Nem WP SMTP-kampagner”.
Den samme forbindelse mellem dagens kampagne og den tidligere rettet mod de to andre plugins var også lavet af sikkerhed forskere på Sucuri.
Mailgun ikke havde svaret på en anmodning om kommentarer inden denne artikel blev offentliggjort, men virksomheden fjernet plugin og var oppe og køre inden for to timer for at opdage problemet på sin hjemmeside.
“Vores applikationer, herunder Mailgun Dashboard, Api’ er, og kunde data, der er gemt på vores platform blev ikke påvirket af dette problem,” siger virksomheden i dens status rapport side.
Mere sårbarhed rapporter:
Forsker udskriver ‘PWNED!’ på hundredvis af GPS-ures kort på grund af ukorrigerede APITens af tusindvis af biler blev efterladt udsat for tyvene på grund af en hardcodede adgangskode
Sårbarhed fundet i Xiaomi telefoner ” pre-installeret sikkerhedsopdatering appBackdoor kode, som findes i populær Bootstrap-Sass Ruby libraryMicrosoft April Patch tirsdag kommer med rettelser til Windows nul-daysResearcher offentliggør Google Chrome udnytte på GitHubDJI rettelser svaghed, at lade potentielle hackere spion på droner CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre