Hogyan csempésztek hátsó ajtót több WordPress bővítménybe egy folyamatban lévő ellátási lánc támadás során?


WordPress Bővítmények Háttértámadása: 36,000 Weboldal Érintett

WordPress bővítmények futtatása akár 36,000 weboldalon háttértámadást szenvedett el, jelentették be hétfőn biztonsági kutatók. Eddig öt bővítményről tudni, hogy érintett a kampányban, amely aktív volt legutóbb hétfő reggel.

A Wordfence biztonsági cég kutatói szerint az elmúlt héten ismeretlen támadók rosszindulatú funkciókat adtak hozzá a bővítmények frissítéseihez a WordPress.org oldalon. Amikor telepítik ezeket a frissítéseket, az automatikusan létrehoz egy támadó által irányított adminisztrátori fiókot, amely teljes ellenőrzést biztosít a kompromittált webhely felett. A frissítések emellett tartalmat is hozzáadnak, amely a keresési eredményeket manipulálja.

Mérgezett Forrás

„A befecskendezett rosszindulatú kód nem túl kifinomult vagy erősen elrejtett, és könnyen követhető megjegyzéseket tartalmaz,” írták a kutatók. „A legkorábbi befecskendezés dátuma 2024. június 21., és a támadó még 5 órája is frissítéseket végzett a bővítményeken.”

Az öt érintett bővítmény a következő:

  • Social Warfare – 30,000 telepítés
  • BLAZE Retail Widget – 10 telepítés
  • Wrapper Link Elementor – 1,000 telepítés
  • Contact Form 7 Multi-Step Addon – 700 telepítés
  • Simply Show Hooks – 4,000 telepítés

Az elmúlt évtizedben a beszállítói lánc támadások az egyik leghatékonyabb vektorrá fejlődtek a rosszindulatú programok telepítésére. A szoftverek mérgezésével a forrásnál a támadók nagy számú eszközt fertőzhetnek meg, amikor a felhasználók egyszerűen csak egy megbízható frissítést vagy telepítési fájlt futtatnak. Korábban az évben, egy széles körben használt nyílt forráskódú XZ Utils kódkönyvtárba ültetett háttérkapu felfedezésével sikerült elkerülni a katasztrófát, nagyjából egy héttel a tervezett általános kiadás előtt.

A kutatók jelenleg is vizsgálják a rosszindulatú programot és azt, hogyan vált elérhetővé a WordPress bővítmény csatornáján. A WordPress, a BLAZE és a Social Warfare képviselői nem válaszoltak az emailben küldött kérdésekre. A többi három bővítmény fejlesztőinek képviselői nem voltak elérhetők, mivel nem adtak meg kapcsolati információkat a webhelyeiken.

A Wordfence kutatói szerint a támadás első jele szombaton jelent meg egy WordPress bővítmény felülvizsgálati csapat tagjának bejegyzésében. A kutatók elemzették a rosszindulatú fájlt, és azonosítottak négy másik bővítményt, amelyeket hasonló kóddal fertőztek meg.

Ebben a szakaszban tudjuk, hogy a befecskendezett rosszindulatú program megpróbál létrehozni egy új adminisztrátori felhasználói fiókot, majd ezeket az adatokat visszaküldi a támadó által irányított szervernek. Ezen kívül úgy tűnik, hogy a támadó rosszindulatú JavaScriptet is befecskendezett a webhelyek láblécébe, amely SEO spamet ad hozzá az egész webhelyen. A befecskendezett rosszindulatú kód nem túl kifinomult vagy erősen elrejtett, és könnyen követhető megjegyzéseket tartalmaz. A legkorábbi befecskendezés dátuma 2024. június 21., és a támadó még 5 órája is frissítéseket végzett a bővítményeken. Jelenleg nem tudjuk pontosan, hogyan sikerült a támadónak megfertőznie ezeket a bővítményeket.

Bárki, aki telepítette ezeket a bővítményeket, azonnal távolítsa el őket, és gondosan ellenőrizze a webhelyét a nemrég létrehozott adminisztrátori fiókok és a rosszindulatú vagy jogosulatlan tartalmak után. Azok a webhelyek, amelyek a Wordfence Vulnerability Scanner-t használják, figyelmeztetést kapnak, ha ezek közül a bővítmények közül futtatnak egyet.

A Wordfence bejegyzése azt is javasolja, hogy az emberek ellenőrizzék webhelyeiket a 94.156.79.8 IP-címről érkező kapcsolatok és az Options vagy PluginAuth felhasználónevekkel rendelkező adminisztrációs fiókok után.

Érdekesség: Az AI technológiák egyre nagyobb szerepet játszanak a kiberbiztonságban, és a jövőben várhatóan még hatékonyabbá teszik a fenyegetések felismerését és elhárítását.

Forrás: Wordfence, WordPress.org