Erorile din WordPress au permis hackerilor să obțină drepturi de administrator și să curețe datele de pe site-urile web vulnerabile
Conturi noi cu drepturi administrative pot fi create și utilizate pentru preluarea completă a site-ului web. Hackerii au exploatat în mod activ erorile critice din pluginurile WordPress care le-au permis să controleze complet conținutul site-urilor web și chiar să le ștergă. O vulnerabilitate zero-day a fost descoperită în pluginul WordPress ThemeREX Addons.[1] Defectul, atunci când este exploatat, permite atacatorilor să creeze conturi cu privilegii administrative, astfel încât site-urile web să poată fi preluate.
Pluginul special este instalat pe cel puțin 44.000 de site-uri web, conform companiei de securitate Wordfence, astfel încât acele site-uri sunt toate vulnerabile.[2] Pluginul oferă 466 de teme și șabloane comerciale WordPress de vânzare, astfel încât clienții să poată configura și gestiona mai ușor temele.
Pluginul funcționează prin configurarea unui punct final REST-API WordPress, dar fără a verifica dacă comenzile trimise către acest API REST provin sau nu de la proprietarul site-ului sau de la un utilizator autorizat. Acesta este modul în care codul de la distanță poate fi executat de orice vizitator neautentificat.
[3]O altă eroare care implică temele WordPress a fost găsită în pluginurile ThemeGrill, care vinde teme de site-uri către mai mult de 200.000 de site-uri. Defectul le-a permis atacatorilor să trimită o anumită sarcină utilă către acele site-uri vulnerabile și să declanșeze funcții dorite după obținerea drepturilor de administrator.[4]
Schema temelor troianizate WordPress care a dus la servere compromise
Potrivit analizei, astfel de defecte au permis compromiterea a cel puțin 20.000 de servere web de pe tot globul. Este posibil să fi dus la instalări de programe malware, expunere a reclamelor rău intenționate. Mai mult de o cincime dintre aceste servere aparțin întreprinderilor mijlocii care au mai puține finanțări de făcut. mai multe site-uri web personalizate, spre deosebire de firmele mai mari, astfel încât astfel de incidente de securitate sunt, de asemenea, mai semnificative în deteriora.
Profitând de un astfel de CMS utilizat pe scară largă, este posibil să fi început încă din 2017. Hackerii își pot atinge obiectivele și pot compromite, fără să știe, diverse site-uri web din cauza lipsei de conștientizare a securității a victimelor. Pe lângă pluginurile vulnerabile menționate și alte defecte, au fost descoperite 30 de site-uri web care oferă teme și pluginuri WordPress.[5]
Pachetele troiene au fost instalate, iar utilizatorii răspândesc fișiere rău intenționate fără să știe măcar că un astfel de comportament permite atacatorilor să obțină control deplin asupra serverului web. De acolo, adăugarea conturilor de administrator, recuperarea serverelor web și chiar obținerea accesului la resursele corporative este ușor.
În plus, programele malware incluse în astfel de atacuri pot:
- comunica cu serverele C&C deținute de hackeri;
- descărcați fișiere de pe server;
- adăugați cookie-uri pentru a colecta diverse date despre vizitatori;
- colectați informații despre mașina afectată.
De asemenea, infractorii implicați în astfel de scheme pot folosi cuvinte cheie, publicitate rău intenționată și alte tehnici:
În numeroase cazuri, reclamele au fost complet benigne și ar direcționa utilizatorul final către un serviciu sau site web legitim. În alte cazuri, însă, am observat reclame pop-up care solicită utilizatorului să descarce programe potențial nedorite.
WordPress este cel mai popular CMS din lume
Rapoartele recente arată că utilizarea unui CMS nu mai este opțională și este în creștere. În special pentru companiile de întreprindere și aplicațiile headless care controlează conținutul separat de nivelul inițial de afișare sau experiența utilizatorului front-end.[6] Cercetarea arată că, în comparație cu alte sisteme de management de conținut, utilizarea WordPress a crescut.
De asemenea, întreprinderile beneficiază în mod clar de a utiliza mai mult de un CMS simultan, astfel încât această practică devine din ce în ce mai populară. Acest lucru este excepțional de util atunci când vine vorba de astfel de probleme cu vulnerabilități și erori sau probleme diferite privind serviciile, confidențialitatea și securitatea site-ului dvs. web și a datelor sensibile.
Pași posibili
Cercetătorii sfătuiesc organizațiile și administratorii să:
- evitați utilizarea software-ului piratat;
- activați și actualizați Windows Defender sau diferite soluții AV;
- feriți-vă de reutilizarea parolelor între conturi;
- actualizați SO în mod regulat
- bazează-te pe patch-uri care sunt disponibile pentru unele dintre aceste vulnerabilități și actualizări pentru anumite plugin-uri.