Bugs i WordPress tillod muligvis hackere at få administratorrettigheder og rense data fra sårbare websteder
Det bestemte plugin er installeret på mindst 44.000 websteder, ifølge Wordfence-sikkerhedsfirmaet, så disse websteder er alle sårbare.[2] Pluginnet giver 466 kommercielle WordPress-temaer og -skabeloner til salg, så kunderne lettere kan konfigurere og administrere temaer.
Pluginnet fungerer ved at opsætte et WordPress REST-API-slutpunkt, men uden at kontrollere, om kommandoer sendt til denne REST API kommer fra webstedsejeren eller en autoriseret bruger eller ej. Dette er hvordan fjernkode kan blive eksekveret af enhver uautoriseret besøgende.
[3]En anden fejl, der involverer WordPress-temaerne, blev fundet i plugins af ThemeGrill, der sælger webstedstemaer til mere end 200.000 websteder. Fejlen gjorde det muligt for angribere at sende den særlige nyttelast til disse sårbare websteder og udløse ønskede funktioner efter at have opnået administratorrettigheder.[4]
Ordningen med trojanske WordPress-temaer, der førte til kompromitterede servere
Ifølge analyse tillod sådanne fejl at kompromittere mindst 20.000 webservere over hele kloden. Det har muligvis ført til malware-installationer, ondsindet annonceeksponering. Mere end en femtedel af disse servere tilhører mellemstore virksomheder, der har færre midler at tjene mere tilpassede websteder, i modsætning til større virksomheder, så sådanne sikkerhedshændelser er også mere betydningsfulde i skade.
At drage fordel af et så udbredt CMS kan være startet tilbage i 2017. Hackere kan nå deres mål og ubevidst kompromittere forskellige websteder på grund af ofrenes manglende sikkerhedsbevidsthed. Ud over de nævnte sårbare plugins og andre fejl, blev 30 hjemmesider, der tilbyder WordPress-temaer og plugins, opdaget.[5]
Trojaniserede pakker blev installeret, og brugere spredte ondsindede filer uden overhovedet at vide, at en sådan adfærd tillader angribere at få fuld kontrol over webserveren. Derfra er det nemt at tilføje administratorkonti, gendanne webservere og endda få adgang til virksomhedens ressourcer.
Derudover kan malware inkluderet i sådanne angreb:
- kommunikere med hacker-ejede C&C-servere;
- download filer fra serveren;
- tilføje cookies for at indsamle forskellige besøgendes data;
- indsamle oplysninger om den berørte maskine.
Kriminelle involveret i sådanne ordninger kan også bruge søgeord, ondsindet annoncering og andre teknikker:
I adskillige tilfælde var annoncerne fuldstændig godartede og ville lede slutbrugeren til en legitim tjeneste eller hjemmeside. I andre tilfælde observerede vi dog pop op-annoncer, der bad brugeren om at downloade potentielt uønskede programmer.
WordPress er det mest populære CMS i verden
De seneste rapporter viser, at brugen af et CMS ikke længere er valgfrit og er i fremmarch. Især for virksomhedsvirksomheder og hovedløse applikationer, der kontrollerer indhold adskilt fra det indledende displaylag eller front-end-brugeroplevelsen.[6] Forskningen viser, at sammenlignet med andre indholdsstyringssystemer er brugen af WordPress steget.
Også virksomheder har helt klart gavn af at bruge mere end ét CMS på én gang, så denne praksis bliver mere og mere populær. Det er usædvanligt praktisk, når det kommer til sådanne problemer med sårbarheder og fejl eller forskellige spørgsmål vedrørende tjenesterne, privatlivets fred og sikkerheden på dit websted og følsomme data.
Mulige trin
Forskere rådgiver organisationer og administratorer til at:
- undgå at bruge piratkopieret software;
- aktivere og opdatere Windows Defender eller andre AV-løsninger;
- hold dig væk fra at genbruge adgangskoder på tværs af konti;
- opdatere OS regelmæssigt
- stole på patches, der er tilgængelige for nogle af disse sårbarheder og opdateringer til bestemte plugins.