WordPress Bővítmények Háttértámadása: 36,000 Weboldal Érintett
WordPress bővítmények futtatása akár 36,000 weboldalon háttértámadást szenvedett el, jelentették be hétfőn biztonsági kutatók. Eddig öt bővítményről tudni, hogy érintett a kampányban, amely aktív volt legutóbb hétfő reggel.
A Wordfence biztonsági cég kutatói szerint az elmúlt héten ismeretlen támadók rosszindulatú funkciókat adtak hozzá a bővítmények frissítéseihez a WordPress.org oldalon. Amikor telepítik ezeket a frissítéseket, az automatikusan létrehoz egy támadó által irányított adminisztrátori fiókot, amely teljes ellenőrzést biztosít a kompromittált webhely felett. A frissítések emellett tartalmat is hozzáadnak, amely a keresési eredményeket manipulálja.
Mérgezett Forrás
„A befecskendezett rosszindulatú kód nem túl kifinomult vagy erősen elrejtett, és könnyen követhető megjegyzéseket tartalmaz,” írták a kutatók. „A legkorábbi befecskendezés dátuma 2024. június 21., és a támadó még 5 órája is frissítéseket végzett a bővítményeken.”
Az öt érintett bővítmény a következő:
- Social Warfare – 30,000 telepítés
- BLAZE Retail Widget – 10 telepítés
- Wrapper Link Elementor – 1,000 telepítés
- Contact Form 7 Multi-Step Addon – 700 telepítés
- Simply Show Hooks – 4,000 telepítés
Az elmúlt évtizedben a beszállítói lánc támadások az egyik leghatékonyabb vektorrá fejlődtek a rosszindulatú programok telepítésére. A szoftverek mérgezésével a forrásnál a támadók nagy számú eszközt fertőzhetnek meg, amikor a felhasználók egyszerűen csak egy megbízható frissítést vagy telepítési fájlt futtatnak. Korábban az évben, egy széles körben használt nyílt forráskódú XZ Utils kódkönyvtárba ültetett háttérkapu felfedezésével sikerült elkerülni a katasztrófát, nagyjából egy héttel a tervezett általános kiadás előtt.
A kutatók jelenleg is vizsgálják a rosszindulatú programot és azt, hogyan vált elérhetővé a WordPress bővítmény csatornáján. A WordPress, a BLAZE és a Social Warfare képviselői nem válaszoltak az emailben küldött kérdésekre. A többi három bővítmény fejlesztőinek képviselői nem voltak elérhetők, mivel nem adtak meg kapcsolati információkat a webhelyeiken.
A Wordfence kutatói szerint a támadás első jele szombaton jelent meg egy WordPress bővítmény felülvizsgálati csapat tagjának bejegyzésében. A kutatók elemzették a rosszindulatú fájlt, és azonosítottak négy másik bővítményt, amelyeket hasonló kóddal fertőztek meg.
Ebben a szakaszban tudjuk, hogy a befecskendezett rosszindulatú program megpróbál létrehozni egy új adminisztrátori felhasználói fiókot, majd ezeket az adatokat visszaküldi a támadó által irányított szervernek. Ezen kívül úgy tűnik, hogy a támadó rosszindulatú JavaScriptet is befecskendezett a webhelyek láblécébe, amely SEO spamet ad hozzá az egész webhelyen. A befecskendezett rosszindulatú kód nem túl kifinomult vagy erősen elrejtett, és könnyen követhető megjegyzéseket tartalmaz. A legkorábbi befecskendezés dátuma 2024. június 21., és a támadó még 5 órája is frissítéseket végzett a bővítményeken. Jelenleg nem tudjuk pontosan, hogyan sikerült a támadónak megfertőznie ezeket a bővítményeket.
Bárki, aki telepítette ezeket a bővítményeket, azonnal távolítsa el őket, és gondosan ellenőrizze a webhelyét a nemrég létrehozott adminisztrátori fiókok és a rosszindulatú vagy jogosulatlan tartalmak után. Azok a webhelyek, amelyek a Wordfence Vulnerability Scanner-t használják, figyelmeztetést kapnak, ha ezek közül a bővítmények közül futtatnak egyet.
A Wordfence bejegyzése azt is javasolja, hogy az emberek ellenőrizzék webhelyeiket a 94.156.79.8 IP-címről érkező kapcsolatok és az Options vagy PluginAuth felhasználónevekkel rendelkező adminisztrációs fiókok után.
Érdekesség: Az AI technológiák egyre nagyobb szerepet játszanak a kiberbiztonságban, és a jövőben várhatóan még hatékonyabbá teszik a fenyegetések felismerését és elhárítását.
Forrás: Wordfence, WordPress.org