Zero-day u popularnom WordPress dodatku iskorištava se u divljini za preuzimanje web stranica

  • Oct 31, 2023

Napadi su počeli prije otprilike tri tjedna i još uvijek traju. Korisnici bi trebali ažurirati dodatak WP GDPR Compliance na verziju 1.4.3 kako bi zaštitili svoje stranice.

wp-gdpr-plugin.png

Hakeri su iskoristili -- i trenutno nastavljaju iskorištavati -- sada zakrpanu zero-day ranjivost u popularnom WordPress dodatku za instaliranje stražnjih vrata i preuzimanje web stranica.

Ranjivost utječe WP usklađenost s GDPR-om, WordPress dodatak koji pomaže vlasnicima stranica da postanu usklađeni s GDPR-om. Dodatak je jedan od najpopularnijih dodataka na temu GDPR-a u direktoriju dodataka za WordPress, s više od 100 000 aktivnih instalacija.

Sigurnost

  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće

Prije otprilike tri tjedna, čini se da su napadači otkrili ranjivost u ovom dodatku i počeli ga koristiti za pristup WordPress stranicama i instaliranje backdoor skripti.

Početna izvješća o hakiranim web-mjestima pretvoreni su u još jedan forum za podršku dodatka, ali pokazalo se da je taj dodatak instaliran kao dodatni sadržaj na nekim od hakiranih web-mjesta.

Nakon istrage koju je vodio sigurnosni tim WordPressa, izvor hakiranja na kraju je bio unatrag do WP usklađenosti s GDPR-om, koji je bio uobičajeni dodatak instaliran na svim prijavljenim ugroženima stranice.

WordPress tim uklonio je dodatak iz službenog imenika dodataka ranije ovog tjedna nakon što su identificirali su nekoliko sigurnosnih problema unutar svog koda, za koje su vjerovali da su uzrok prijavljivanja hakovi.

Dodatak je vraćen prije dva dana, ali tek nakon njegovih autora izdana verzija 1.4.3, koji je sadržavao zakrpe za prijavljene probleme.

Napadi i dalje traju

No unatoč popravcima, napadi na stranice koje još uvijek pokreću verzije 1.4.2 i starije još uvijek traju, prema sigurnosnim stručnjacima od Prkosnog, tvrtka koja pokreće Wordfence firewall plugin za WordPress stranice.

Analitičari tvrtke kažu da nastavljaju otkrivati ​​napade koji pokušavaju iskoristiti jedan od prijavljenih sigurnosnih problema usklađenosti WP GDPR-a.

Konkretno, napadači ciljaju na pogrešku usklađenosti WP GDPR-a koja im omogućuje upućivanje poziva jednom od interne funkcije dodatka i promijeniti postavke za dodatak, ali i za cijeli WordPress CMS.

Wordfence tim kaže da su vidjeli dvije vrste napada koji koriste ovu grešku. Prvi scenarij ide ovako:

  • Hakeri koriste bug kako bi otvorili sustav registracije korisnika stranice.
  • Hakeri koriste grešku kako bi postavili zadanu ulogu za nove račune na "administrator".
  • Hakeri registriraju novi račun, koji automatski postaje administrator. Ovaj novi račun obično se zove "t2trollherten."
  • Hakeri su vratili zadanu korisničku ulogu za nove račune na "pretplatnik".
  • Hakeri onemogućuju javnu registraciju korisnika.
  • Hakeri se prijavljuju na svoj novi administratorski račun.
  • Zatim nastavljaju instalirati backdoor na stranicu, kao datoteku pod nazivom wp-cache.php.

Ova backdoor skripta (GUI na slici ispod) sadrži upravitelj datoteka, emulator terminala i PHP eval() funkciju runner, a Wordfence kaže da "skripta poput ove na web-mjestu može dopustiti napadaču da rasporedi daljnja opterećenja na htjeti."

Slika: Prkosno

Ali stručnjaci su otkrili i drugu vrstu napada, koji se ne oslanja na stvaranje novog administratorskog računa, što bi mogli uočiti vlasnici hakirane stranice.

Ova druga i navodno tiša tehnika uključuje korištenje pogreške WP GDPR Compliance za dodavanje novog zadatka u WP-Cron, WordPressov ugrađeni planer zadataka.

Hakerski cron posao preuzima i instalira dodatak Autocode od 2 MB, koji napadači kasnije koriste za prenesite još jednu backdoor skriptu na stranicu -- također pod nazivom wp-cache.php, ali različitu od one opisane iznad.

No dok su hakeri pokušali učiniti ovaj drugi scenarij iskorištavanja tišim od prvog, zapravo je ova tehnika dovela do otkrića nultog dana.

To se dogodilo jer na nekim stranicama hakerska rutina iskorištavanja nije uspjela izbrisati dodatak Autocode od 2 MB. Vlasnici stranica vidjeli su da se na njihovim stranicama pojavljuje novi dodatak i uspaničili su se.

Zapravo, na forumu za podršku ovog dodatka za WordPress vlasnici web-mjesta su se prvi put žalili na hakirana web-mjesta i pokrenuli istragu koja je dovela natrag do WP dodatka za usklađenost s GDPR-om.

Napadači gomilaju hakirane stranice

Trenutačno se čini da napadači ne rade ništa zlonamjerno s hakiranim stranicama, prema Wordfence timu.

Hakeri samo gomilaju hakirana mjesta, a Wordfence ih nije vidio da pokušavaju išta implementirati zlonamjerni putem backdoor skripti, kao što su SEO spam, setovi za iskorištavanje, zlonamjerni softver ili druge vrste zloća.

Vlasnici web-mjesta koji koriste WP dodatak za usklađenost s GDPR-om još uvijek imaju vremena ažurirati ili ukloniti dodatak sa svojih web-mjesta i očistiti sva stražnja vrata koja su ostavljena. Trebali bi to učiniti prije nego što njihova stranica doživi udarac u smislu rangiranja u tražilicama, što se obično događa nakon što Google pronađe zlonamjerni softver na njihovim domenama tijekom redovnog skeniranja.

Kako otkriti i uništiti špijunski softver na vašem pametnom telefonu (u slikama)

Više sigurnosne zaštite:

  • Nedostaci WordPressa i WooCommercea u kombinaciji omogućuju otmicu web stranice
  • Rudari kriptovalute Linuxa instaliraju rootkite kako bi se sakrili
  • Adobe ColdFusion poslužitelji pod napadom APT grupe
  • Cisco je uklonio svoj sedmi backdoor račun ove godine, i to je dobra stvar
  • IoT botnet inficira 100.000 usmjerivača za slanje spama Hotmail, Outlook i Yahoo
  • WPA3 Wi-Fi je tu, a teže ga je hakirati CNET
  • Hakeri provalili u StatCounter kako bi oteli Bitcoin transakcije na Gate.io burzi
  • Web stranice su napadnute 58 puta dnevno, čak i kada su ispravno zakrpane TechRepublic