Mailgun gehackt deel van massieve aanval op WordPress sites

Logo: Mailgun // Samenstelling: ZDNet

×

mailgun.png

E-automatisering en levering service Mailgun was één van de vele bedrijven die zijn gehackt vandaag als onderdeel van een grote gecoördineerde aanval op WordPress sites.

De aanslagen misbruikt een niet-gepatchte cross-site scripting (XSS) lek in een WordPress plugin met de naam Yuzo Gerelateerde Berichten.

De kwetsbaarheid mag hackers te injecteren code in kwetsbare sites, die ze later gebruikt voor het omleiden van binnenkomende bezoekers te allerhande fenomenen, zoals de technische support van oplichting, sites leuren malware-geregen software-updates, of gewoon ol’ spammy pagina ‘ s met het tonen van advertenties.

Mailgun was slechts een van de willekeurige slachtoffer van deze aanvallen, maar niet de enige. Andere site-eigenaren gemeld soortgelijke problemen met hun sites op de plugin support forum op WordPress.org [1, 2, 3], en op andere web-dev discussie forums, zoals StackOverflow.

Onderzoeker gedaald zero-day exploit online zonder waarschuwing

Vandaag de massale hacken campagne vermeden had kunnen worden als alleen de web developer die de Yuzo Realted Posts plugin beveiligingslek zou hebben gemeld dat het probleem aan de auteur, in plaats van het publiceren van proof-of-concept code online.

Als gevolg van het maken van deze proof-of-concept code is beschikbaar voor iedereen, de plugin is verwijderd van de officiële WordPress Plugins repository op dezelfde dag, het voorkomen van toekomstige downloads tot er een patch is beschikbaar worden gesteld.

Echter, deze niet te verwijderen van de plug-in van alle websites rondom de wereld, die al bleef kwetsbaar. Op het moment van de verwijdering, de plugin al geïnstalleerd op meer dan 60.000 locaties, volgens de officiële WordPress.org statistieken.

Wat werd zo wanhopig vandaag in de vroege uren van de aanvallen die de plugin auteur genoemd op gebruikers “verwijder deze plugin onmiddellijk” uit hun sites totdat er een update beschikbaar zou zijn.

Er is een groep gaan na WordPress sites

Volgens Uitdagend, het bedrijf achter WordPress firewall plugin, het hacken van de groep achter de aanvallen van vandaag is dezelfde groep die uitgebuit twee zero-dagen in twee andere plug-ins in de voorgaande weken –met name in de Easy WP SMTP-en Sociale Warfare plugins.

“Exploits tot dusver hebben gebruikt een kwaadaardig script wordt gehost op hellofromhony[.]org, die wordt omgezet in 176.123.9[.]53”, zegt Dan Moen, Uitdagend onderzoeker. “Dat hetzelfde IP-adres dat werd gebruikt in de Sociale oorlog en Gemakkelijk WP SMTP-campagnes.”

De verbinding tussen de huidige campagne van de vorige gericht op de twee andere plugins werd ook gemaakt door security-onderzoekers van Sucuri.

Mailgun niet antwoorden op een verzoek om commentaar voor dit artikel is de publicatie van informatie; echter, het bedrijf verwijderd van de plugin en het was weer up and running binnen twee uur van het opsporen van het probleem op de site.

“Onze toepassingen, waaronder de Mailgun Dashboard, Api’ s en gegevens van de klant opgeslagen op ons platform werden niet beïnvloed door dit probleem,” aldus het bedrijf in haar rapport status pagina.

Meer kwetsbaarheid rapporten:

Onderzoeker prints ‘PWNED!’ op honderden GPS-horloges kaarten te wijten aan de niet vastgelegde APITens van duizenden auto ‘ s waren kwetsbaar voor dieven door een hardcoded wachtwoord
Kwetsbaarheid gevonden in Xiaomi telefoons’ pre-geïnstalleerde beveiliging appBackdoor code gevonden in de populaire Bootstrap-Sass Ruby libraryMicrosoft s April Patch dinsdag komt met oplossingen voor twee Windows zero-daysResearcher publiceert Google Chrome exploit op GitHubDJI correcties kwetsbaarheid waarmee potentiële hackers spy drones op CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic

Verwante Onderwerpen:

Open Source

Beveiliging TV

Data Management

CXO

Datacenters