Hakerzy aktywnie używają podatnych na ataki wtyczek WordPress do atakowania stron internetowych

Coraz więcej hakerów korzysta z najnowszych luk bezpieczeństwa znalezionych ostatnio w ataku wtyczek WordPress. Cyberprzestępcy atakują tych właścicieli witryn, którzy nie aktualizują swoich wtyczek i nadal używają starych wersji podatnych na ataki wersji.

Robi to kilka grup hakerów. Na razie eksperci ds. bezpieczeństwa znają co najmniej dwie grupy, które atakują niezałatane wersje wtyczek Profile Builder, ThemeGrill Demo Importer i Duplicator.

Są to dość popularne wtyczki instalowane na wielu stronach internetowych. Szacuje się, że istnieje kilkaset tysięcy stron internetowych, które mogą zostać wykorzystane, ponieważ ich właściciele nie zaktualizowali tych trzech wtyczek.

Wszystkie wyżej wymienione wtyczki mają jedną wspólną cechę. Badacze bezpieczeństwa udostępnili niedawno raporty o krytycznych błędach bezpieczeństwa znalezionych w tych wtyczkach, które mogą prowadzić do naruszenia bezpieczeństwa witryny.

Jeden z przeciwników, których eksperci ds. bezpieczeństwa nazywają Tonyredball, uzyskuje dostęp do stron internetowych WP, które zawierają podatną na ataki wersję:

ThemeGrill Demo Importer (poniżej wersji 1.6.3) Luka pozwala każdemu użytkownikowi zalogować się jako administrator i wyczyścić całą bazę danych.

Profile Builder (poniżej wersji 3.1.1) Błąd pozwala nieuwierzytelnionym użytkownikom również uzyskać uprawnienia administratora.

Grupa Tonyredball
Eksperci ds. bezpieczeństwa z Defiant zwracają uwagę, że grupa Tonyredball wykorzystuje błąd rejestracji administratora we wtyczce Profile Builder, używając żądań internetowych zawierających adres e-mail i nazwę użytkownika nowego konta administratora.

Jednocześnie eksperci uważają, że ta grupa hakerów jest zaangażowana w wiele innych ataków, które wykorzystują błąd usuwania bazy danych znaleziony we wtyczce ThemeGrill Demo Importer.

Powodem masowej eksploatacji narzędzia ThemeGrill Demo Importer jest prawdopodobnie łatwość jego wykonania. Wymaga jedynie od atakujących wysłania żądania do ataku na zagrożoną witrynę za pośrednictwem wtyczek WordPress. A w przypadku Konstruktora profili napastnicy musieliby podjąć poważniejsze wysiłki, ponieważ najpierw powinni znaleźć wrażliwą formę.

Ostatecznym rezultatem wykorzystania obu luk jest uzyskanie uprawnień administratora oraz możliwość dostępu do witryny ofiary. Po uzyskaniu dostępu, za pomocą programu do przesyłania motywów i wtyczek, hakerzy przesyłają swoje złośliwe skrypty do pulpitu WordPress.

Aktorzy zagrożeń wykorzystują wiele typów skryptów powiązanych z takimi nazwami plików, jak wp-block-plugin.php, blockspluginn.php, supersociall.php i wp-block-plugin.php.

Po początkowym wykorzystaniu ataku osoby atakujące dostarczają dodatkowe ładunki mające na celu zainfekowanie większej liczby plików i zwiększenie obecności w witrynie. Ponadto badacze zaobserwowali, że autorzy złośliwego oprogramowania zaczynają szukać innych witryn WP, które są podatne na tę samą metodę eksploatacji.

W wielu przypadkach atakujący wstrzykują złośliwy kod do legalnych plików JavaScript. Celem tego posunięcia jest załadowanie jeszcze jednego skryptu z innego serwera, który przekierowywałby odwiedzających na złośliwe strony internetowe kontrolowane przez cyberprzestępców.

W chwili obecnej przekierowanie to jest łatwe do zauważenia i niezbyt wyrafinowane, ale przestępcy mogą zmodyfikować swój skrypt, aby był znacznie bardziej podstępny.

W jednym przypadku odwiedzający zostali przekierowani na stronę o nazwie Talktofranky, która poprosiła o naciśnięcie Zezwól w wyskakującym okienku powiadomienia przeglądarki, aby udowodnić, że są prawdziwymi ludźmi, a nie botami. Jeśli odwiedzający to zrobili, pozwolili witrynie na wysyłanie różnych powiadomień, w tym spamu.

Może to wyglądać na niewielkie zagrożenie, ale właściciele urządzeń Mac, które nie są łatwe do zhakowania, często padają ofiarą takich sztuczek. Na przykład użytkownicy zostali przekierowani na nieuczciwe strony, takie jak A.akamaihd.net.

Badacze bezpieczeństwa znaleźli dyskusję na jednym z forów internetowych poświęconych tej sytuacji, sugerując, że ofiar jest sporo.

Co ciekawe, wszystkie ataki grupy Tonyredball pochodzą z jednego IP -45.129.96.17. Znajduje się w Estonii i jest przydzielony lokalnemu dostawcy hostingu o nazwie GMHost. Ten dostawca jest dobrze znany ze swoich kiepskich zasad, które przyciągają wielu cyberprzestępców do hostingu. Ten dostawca po prostu nie reaguje na reklamacje.

Nie jest jasne, ile witryn WordPress może zostać trafionych z powodu podatnych na ataki wtyczek. Badacze szacują, że wtyczka Profile Builder może być zainstalowana na około 37k stronach, a ThemeGrill Demo Importer na około 40k stronach.

Grupa Solarsalvador1234
Jeszcze jedna grupa, która wydaje się być bardziej wyrafinowana, nazywa się Solarsalvador1234. Badacze z Defiant nazwali go tak, ponieważ jest to nazwa adresu e-mail często używanego w żądaniach internetowych, które doprowadziły do ​​​​wyzysku.

Ten cyberprzestępca atakuje również dwie wyżej wymienione wtyczki, ale oprócz nich grupa Solarsalvador1234 ma na swojej liście wtyczkę Duplicator. Ta wtyczka WordPress pomaga klonować i migrować witrynę z jednego miejsca do drugiego. Ma ponad milion aktywnych instalacji!

Wersje programu Duplicator, które są starsze niż 1.3.28, mają lukę w zabezpieczeniach, która umożliwia nieuwierzytelnionym odwiedzającym pobieranie różnych plików z docelowych witryn.

Ten błąd jest często wykorzystywany do pobrania pliku konfiguracyjnego strony ofiary – wp-config.php, który przechowuje dane uwierzytelniające użytkownika umożliwiające dostęp do bazy danych. Głównym celem jest uzyskanie rozszerzonych i długoterminowych możliwości wejścia na skompromitowaną stronę.

Tak więc, wykorzystując te trzy luki w zabezpieczeniach, pod koniec dnia osoby atakujące uzyskują pełny dostęp administracyjny do witryn ofiar. Należy przypomnieć, że te luki zostały już publicznie ujawnione i załatane.

W przypadku włamania, właściciele witryn powinni obwiniać się o nieprzestrzeganie najlepszych praktyk bezpieczeństwa i nieaktualizowanie na czas atakujących wtyczek WordPress. Na podstawie ostatnich statystyk analitycy bezpieczeństwa uważają, że około 800 tys. stron internetowych nadal korzysta z niezałatanej wersji Duplicator.

Istnieje wiele powodów, by sądzić, że wyżej wymienione trzy podatne wtyczki nie są jedynymi, które są wykorzystywane.

Ponownie, właściciele stron internetowych powinni pamiętać, że po wydaniu jakiejkolwiek aktualizacji bezpieczeństwa, ich zainstalowanie powinno być priorytetem, ponieważ coraz więcej hakerów atakuje witryny WordPress, szybko znajdując i wykorzystując wszystkie nowe i stare luki w zabezpieczeniach.