Buggar i WordPress möjliggjorde möjligen att hackare kunde få administratörsrättigheter och rensa bort data från sårbara webbplatser
Nya konton med administrativa rättigheter kan skapas och användas för fullständigt övertagande av webbplatsen. Hackare utnyttjade aktivt kritiska buggar i WordPress-plugins som gjorde att de kunde kontrollera innehållet på webbplatser helt och till och med rensa bort dem. En nolldagarssårbarhet upptäcktes i WordPress-pluginet ThemeREX Addons.[1] Felet, när det utnyttjas, tillåter angripare att skapa konton med administrativa privilegier, så att webbplatser kan tas över.
Det specifika pluginet är installerat på minst 44 000 webbplatser, enligt säkerhetsföretaget Wordfence, så dessa webbplatser är alla sårbara.[2] Plugin-programmet tillhandahåller 466 kommersiella WordPress-teman och mallar till försäljning, så att kunderna kan konfigurera och hantera teman enklare.
Pluginet fungerar genom att sätta upp en WordPress REST-API-slutpunkt, men utan att kontrollera om kommandon som skickas till detta REST API kommer från webbplatsägaren eller en auktoriserad användare eller inte. Detta är hur fjärrkod kan exekveras av alla oautentiserade besökare.
[3]En annan bugg som involverade WordPress-teman hittades i plugins av ThemeGrill som säljer webbplatsteman till mer än 200 000 webbplatser. Felet gjorde det möjligt för angripare att skicka den specifika nyttolasten till dessa sårbara webbplatser och utlösa önskade funktioner efter att ha fått administratörsrättigheter.[4]
Systemet med trojaniserade WordPress-teman som ledde till komprometterade servrar
Enligt analys tillät sådana brister att kompromissa med minst 20 000 webbservrar över hela världen. Det har möjligen lett till installation av skadlig programvara, skadlig annonsexponering. Mer än en femtedel av dessa servrar tillhör medelstora företag som har mindre finansiering att göra fler anpassade webbplatser, till skillnad från större företag, så sådana säkerhetsincidenter är också mer betydande i skada.
Att dra nytta av ett sådant allmänt använda CMS kan ha börjat redan 2017. Hackare kan uppnå sina mål och omedvetet kompromissa med olika webbplatser på grund av offrens bristande säkerhetsmedvetenhet. Förutom de nämnda sårbara plugins och andra brister, upptäcktes 30 webbplatser som erbjuder WordPress-teman och plugins.[5]
Trojaniserade paket installerades och användare spred skadliga filer utan att ens veta att sådant beteende tillåter angripare att få full kontroll över webbservern. Därifrån är det enkelt att lägga till administratörskonton, återställa webbservrar och till och med få tillgång till företagets resurser.
Dessutom kan skadlig programvara som ingår i sådana attacker:
- kommunicera med hackerägda C&C-servrar;
- ladda ner filer från servern;
- lägga till cookies för att samla in olika besöksdata;
- samla in information om den berörda maskinen.
Dessutom kan brottslingar som är inblandade i sådana upplägg använda sökord, skadlig reklam och andra tekniker:
I många fall var annonserna helt godartade och skulle leda slutanvändaren till en legitim tjänst eller webbplats. I andra fall såg vi dock popup-annonser som uppmanade användaren att ladda ner potentiellt oönskade program.
WordPress är världens mest populära CMS
De senaste rapporterna visar att det inte längre är valfritt att använda ett CMS och att det ökar. Speciellt för företagsföretag och huvudlösa applikationer som kontrollerar innehåll separerat från det ursprungliga visningsskiktet eller front-end-användarupplevelsen.[6] Forskningen visar att i jämförelse med andra innehållshanteringssystem har användningen av WordPress ökat.
Dessutom drar företag helt klart nytta av att använda mer än ett CMS samtidigt, så denna praxis blir mer och mer populär. Det är exceptionellt praktiskt när det kommer till sådana problem med sårbarheter och buggar eller olika frågor angående tjänsterna, integriteten och säkerheten för din webbplats och känsliga data.
Möjliga steg
Forskare råder organisationer och administratörer att:
- undvik att använda piratkopierad programvara;
- aktivera och uppdatera Windows Defender eller olika AV-lösningar;
- håll dig borta från att återanvända lösenord på flera konton;
- uppdatera OS regelbundet
- förlita sig på patchar som är tillgängliga för vissa av dessa sårbarheter och uppdateringar för särskilda plugins.