Objava PoC-a u popularnom dodatku za WordPress dovodi do skeniranja ranjivih stranica

Napadači traže WordPress stranice koje pokreću ranjivu verziju popularnog dodatka koji bi im mogao omogućiti preuzimanje stranica i poslužitelja.

Ranjivost utječe na "Umnožavač," dodatak za WordPress koji je instaliran na više od milijun web-mjesta, prema statistikama navedenim u službenom imeniku dodataka za WordPress. Dodatak je popularan jer administratorima web-mjesta omogućuje migraciju web-mjesta na nove poslužitelje u roku od nekoliko minuta.

Duplicator radi tako da generira ZIP datoteku koja sadrži prethodnu verziju stranice, zajedno s PHP datotekom pod nazivom installer.php. Sve što administrator web-mjesta treba učiniti jest učitati ZIP arhivu i datoteku pod nazivom installer.php na novi poslužitelj, pristupiti PHP datoteci, unijeti vjerodajnice nove baze podataka i pokrenuti novu stranicu.

Također: Ozbiljna ranjivost izlaže WordPress web stranice napadima

Ali u srpnju ove godine, dva istraživača sigurnosti iz Synacktiva, Thomas Chauchefoin i Julien Legras, otkrili su da dodatak ne uklanja datoteke preostale nakon uspješne migracije, uključujući izvornu ZIP arhivu i PHP datoteku.

To znači da napadač može pristupiti skripti installer.php u bilo kojem trenutku i unijeti vlastite DB vjerodajnice kako bi dobio privremenu kontrolu nad web mjestom, a neizravno i nad njegovim temeljnim poslužiteljem.

Također: Najbolji kućni sigurnosni uređaji za 2018 CNET

Izvođenje takve operacije rezultira razbijanjem trenutne web stranice, jer bi se web stranica izvodila povrh napadačevog lažnog DB-a, ali istraživači Synacktiva kažu da tijekom ovoga puta napadač može dobiti administratorska prava nad instalacijom WordPressa i instalirati zlonamjerne WordPress dodatke koji se mogu koristiti za ispuštanje skrivenih stražnjih vrata na temeljnom poslužitelj.

Vlasnici web-mjesta koji otkrivaju srušena web-mjesta i koji ne mogu identificirati izvor hakiranja ili izvesti odgovarajuće operacije čišćenja web-mjesta nastavio bi ugostiti napadačeva skrivena stražnja vrata, čak i nakon ispravljanja problema s vezom baze podataka ili ponovne instalacije stranice.

Također: WordPressova pokvarena funkcija automatskog ažuriranja

Tim koji stoji iza dodatka Duplicator popravio je ovu ranjivost 24. kolovoza izdavanjem Umnožavač 1.2.42, nakon izvješća Synacktiva. Smatra se da su zahvaćene sve prethodne verzije.

Synacktiv je objavio a dopisivanje s pojedinostima o bugu 29. kolovoza, koji je također uključivao skriptu za dokaz koncepta (PoC) koja se može koristiti za otimanje zahvaćenih web stranica s kojih administratori nisu ručno uklonili datoteke preostale nakon poslužitelja temeljenog na umnožavanju migracija.

Također: 7 savjeta za mala i srednja poduzeća za poboljšanje sigurnosti podataka TechRepublic

"Vidjeli smo vrlo primjetan porast u skeniranju ranjivih datoteka Duplicator nakon što je otkriće izašlo u javnost," Sean Murphy, direktor obavještajnih službi za prijetnje Prkosan, tvrtka koja stoji iza sigurnosnog dodatka za WordFence, rekla je za ZDNet u jučerašnjem intervjuu.

Nekoliko istraživača koji nisu htjeli otkriti svoja imena za ovaj članak rekli su za ZDNet da su pronašli dodatak Duplicator instaliran na nekoliko najpopularnijih Alexa stranica.

Prethodna i povezana izvješća:

Što je malware? Sve što trebate znati

Cyber ​​napadi i malware jedna su od najvećih prijetnji na internetu. Saznajte više o različitim vrstama zlonamjernog softvera - i kako izbjeći da postanete žrtva napada.

Sigurnost 101: Evo kako sačuvati privatnost svojih podataka, korak po korak

Ovaj jednostavan savjet pomoći će vam da se zaštitite od hakera i državnog nadzora.

VPN usluge 2018: Vrhunski vodič za zaštitu vaših podataka na internetu

Bilo da ste u uredu ili na putu, VPN je još uvijek jedan od najboljih načina da se zaštitite na velikom, lošem internetu.