Aidolta näyttävän WordPress-välimuistilaajennuksen takana piilee kehittyneitä haittaohjelmia, jotka pystyvät luomaan hallintatilin verkkosivustolle, ja antavat uhkatoimijoille mahdollisuuden kaapata tartunnan saaneet verkkosivustot täysin halutessaan.
Wordfence-tutkijat löysivät laajennuksen, joka voi suorittaa erilaisia haitallisia tehtäviä samalla kun naamioituu lailliseksi lisäohjelmistoksi WordPress-alustalle, he paljastivat blogi 11. lokakuuta. Tärkein näistä toiminnoista on kyky luoda järjestelmänvalvojatili ja etäaktivoida laajennuksia – periaatteessa antaa uhkien toimijoille vapaat kädet tartunnan saaneiden sivustojen suhteen.
Takaovi voi toimia sekä erillisenä komentosarjana että myös lisäosana, ja siinä on ominaisuuksia, kuten laajennuksen etäaktivointi ja ehdollinen sisällön suodatus, jotka antavat sille kiertotoimintoja, joita kokemattomien käyttäjien on vaikea havaita.
Muita ominaisuuksia ovat mahdollisuus lisätä suodattimia estämään haittaohjelmien sisällyttäminen aktivoitujen laajennusten luetteloon, ping-toiminto, jonka avulla haitallinen toimija voi tarkistaa, onko komentosarja edelleen toiminnassa, ja tiedostojen muokkausominaisuudet. Lisäksi takaovi voi aktivoida tai deaktivoida mielivaltaisia laajennuksia etänä, mikä on "hyödyllistä ei-toivottujen laajennusten poistamiseksi käytöstä ja myös tämän haitallisen laajennuksen aktivoimiseksi tarpeen mukaan", Wotschka kirjoitti.
"Koska haitallinen tiedosto toimii WordPressin liitännäisenä, sillä on pääsy normaaleihin WordPress-toimintoihin aivan kuten muilla laajennuksilla", Wordfence-haavoittuvuustutkija Marco Wotschka kirjoitti viestissä. "Yhdessä nämä ominaisuudet tarjoavat hyökkääjille kaiken, mitä he tarvitsevat uhrisivuston etähallintaan ja rahallistamiseen sivuston oman SEO-sijoituksen ja käyttäjien yksityisyyden kustannuksella."
Wordfence-analyytikko löysi näytteen haittaohjelmasta sivuston puhdistuksen aikana 18. heinäkuuta ja loi allekirjoituksen seuraavana päivänä, joka myöhemmin testattiin ja julkaistiin Wordfence-asiakkaille 1. syyskuuta.
Haitallinen laajennus: Piilotettu mutta havaittavissa oleva haittaohjelmien vihollinen
Tutkijat rikkoivat osan tärkeimmistä toiminnoista haitallinen laajennus, mukaan lukien ominaisuudet, jotka todennäköisimmin herättävät epäilyksiä sivuston nykyisten järjestelmänvalvojien tai käyttäjien keskuudessa.
Yksi niistä on käyttää wp_create_user-toimintoa uuden käyttäjätilin luomiseen käyttäjänimellä superadmin ja kovakoodatulla salasanalla hyökkääjän määrittämiseksi verkkosivuston järjestelmänvalvojaksi. Tämä tili poistetaan, kun uhri on onnistuneesti vaarantunut keinona poistaa jälkiä ja siten vähentää havaitsemismuutoksia Wordfencen mukaan.
"Vaikka testikoodissa usein nähdään, käyttäjien luomista kovakoodatuilla salasanoilla tulisi pitää punaisena lippuna, ja tämän käyttäjän nostaminen järjestelmänvalvojaksi on varmasti riittävä syy epäilyyn", Wotschka kirjoitti.
Haitallinen laajennus sisältää myös botin tunnistuskoodin, joka esiintyy usein haittaohjelmissa verkkosivustolla, joka tarjoaa normaalia sisältöä joillekin käyttäjille samalla, kun se ohjaa tai esittelee haitallista sisältöä muille.
"Yksi yhteinen säiettä näissä tartuntatapauksissa on, että sivustojen omistajat pitävät sivustonsa hyvältä, mutta heidän vierailijansa ovat raportoineet ongelmista, kuten roskapostin näkemisestä tai uudelleenohjauksesta epäilyttävälle sivustolle", Wotschka selitti.
Lisäksi, koska tällaiset haittaohjelmat haluavat hakukoneiden löytävän haitallisen sisällön, se yleensä toimitetaan heille, kun he indeksoivat sivuston, hän sanoi. Uhkatoimijat käyttävät avainsanojen täyttämistä lisätäkseen tartunnan saaneille sivustoille lähetettyä liikennettä, ja järjestelmänvalvojat raportoivat usein äkillisestä, odottamattomasta sivustoliikenteen kasvusta, kun heidän sivustoillaan on tartunta.
Vaikka botin tunnistuskoodin läsnäolo yksinään ei riitä varmistamaan, että verkkosivustolla on haitallista toimintaa, se erottuu epäilyttävänä toimintona, Wotschka lisäsi.
WordPress-sivustojen suojaaminen
Laajennukset jäävät paljastettu ja huomattava hyökkäyspinta WordPressille ja miljoonille sille rakennetuille sivustoille, endeeminen ongelma, joka on edelleen jatkuva uhka. Uhkatoimijat ovat kohdistaneet WordPress-sivustoihin molempien kautta ilkeä ja haavoittuva laajennuksia, ja molemmat ongelmat jäävät usein huomaamatta sivuston ylläpitäjiltä, kunnes verkkosivusto on jo olemassa aktiivisen hyökkäyksen alla.
Kaiken kaikkiaan jokaisen WordPressillä verkkosivustoja rakentavan tulee noudattaa parhaita tietoturvakäytäntöjä sivustojen määrittämisessä varmistaakseen, että ne pysyvät mahdollisimman suojattuina. Wordfence neuvoi, että they tulisi myös sisällyttää sivustolle jonkinlainen turvallisuusseuranta, jos vaaratilanne tapahtuu näiden käytäntöjen noudattamisen jälkeen.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/endpoint/backdoor-lurks-behind-wordpress-caching-plugin-to-hijack-websites
