Hackerii folosesc în mod activ pluginuri WordPress vulnerabile pentru a ataca site-urile web

Din ce în ce mai mulți hackeri folosesc cele mai recente vulnerabilități de securitate găsite recent în atacul pluginurilor WordPress. Infractorii cibernetici vizează acei proprietari de site-uri web care nu reușesc să-și actualizeze pluginurile și încă folosesc versiuni vechi ale versiunilor vulnerabile.

Mai multe grupuri de hackeri o fac. Deocamdată, experții în securitate cunosc cel puțin două grupuri care atacă versiuni nepatchate ale pluginurilor Profile Builder, ThemeGrill Demo Importer și Duplicator.

Acestea sunt pluginuri destul de populare instalate pe numeroase site-uri web. Se estimează că există câteva sute de mii de site-uri web care riscă să fie exploatate deoarece proprietarii lor nu au reușit să actualizeze aceste trei plugin-uri.

Toate pluginurile menționate mai sus au un lucru comun. Cercetătorii în domeniul securității au distribuit recent rapoarte despre erori critice de securitate găsite în aceste pluginuri care ar putea duce la compromiterea site-ului.

Unul dintre adversarii pe care experții în securitate îi numesc Tonyredball are acces la site-urile web WP care au o versiune vulnerabilă a:

ThemeGrill Demo Importer (sub versiunea 1.6.3) Defectul permite oricărui utilizator să se conecteze ca un administrator și să ștergă întreaga bază de date.

Profile Builder (sub versiunea 3.1.1) Bug permite utilizatorilor neautentificați să obțină și privilegii de administrator.

Grupul Tonyredball
Experții în securitate de la Defiant subliniază că grupul Tonyredball exploatează eroarea de înregistrare a administratorului în pluginul Profile Builder folosind solicitări web care conțin e-mailul și numele de utilizator al noului cont de administrator.

În același timp, experții consideră că acest grup de hackeri este implicat în multe alte atacuri care exploatează bug-ul de ștergere a bazei de date găsit în pluginul ThemeGrill Demo Importer.

Motivul exploatării în masă a ThemeGrill Demo Importer este probabil ușurința de a face acest lucru. Este nevoie doar de atacatori să trimită o solicitare unui atac de site vulnerabil prin intermediul pluginurilor WordPress. Și în cazul Profile Builder, atacatorii ar trebui să depună eforturi mai serioase, deoarece ar trebui să găsească mai întâi forma vulnerabilă.

Rezultatul final al exploatării ambelor vulnerabilități este obținerea de privilegii administrative și capacitatea de a accesa site-ul web al victimei. Odată obținut accesul, cu ajutorul încărcărilor de teme și pluginuri, hackerii își încarcă scripturile rău intenționate în tabloul de bord WordPress.

Actorii amenințărilor utilizează mai multe tipuri de scripturi care sunt asociate cu nume de fișiere precum wp-block-plugin.php, blockspluginn.php, supersociall.php și wp-block-plugin.php.

După exploatarea inițială, atacatorii livrează încărcături suplimentare menite să infecteze mai multe fișiere și să obțină o prezență mai largă pe site. În plus, cercetătorii au observat că autorii de malware încep să caute alte site-uri WP care sunt vulnerabile la aceeași metodă de exploatare.

În multe cazuri, atacatorii injectează cod rău intenționat în fișiere JavaScript legitime. Scopul acestei mișcări este de a încărca încă un script de pe un alt server care ar redirecționa vizitatorii către site-uri web rău intenționate controlate de infractorii cibernetici.

În prezent, această redirecționare este ușor de observat și nu este sofisticată, dar răufăcătorii își pot modifica scenariul pentru a fi mult mai furtun.

Într-un caz, vizitatorii au fost redirecționați către un site web numit Talktofranky care a solicitat să apese Permite în fereastra de notificare a browserului, pentru a dovedi că sunt oameni reali și nu roboți. Dacă vizitatorii au făcut acest lucru, au permis site-ului să trimită diverse notificări, inclusiv spam.

Aceasta poate părea o amenințare minoră, dar proprietarii de dispozitive Mac care nu sunt ușor de piratat cad adesea victimele unor astfel de trucuri. De exemplu, utilizatorii au fost redirecționați către site-uri necinstite precum A.akamaihd.net.

Cercetătorii de securitate au găsit o discuție pe unul dintre forumurile online dedicate acestei situații, sugerând că există destul de multe victime.

Ce este interesant, toate atacurile grupului Tonyredball provin dintr-un singur IP -45.129.96.17. Se află în Estonia și este alocat furnizorului local de găzduire numit GMHost. Acest furnizor este bine cunoscut pentru politicile sale slabe care atrag mulți criminali cibernetici să găzduiască acolo. Acest furnizor pur și simplu nu reacționează la reclamații.

Nu este foarte clar câte site-uri WordPress pot fi lovite din cauza pluginurilor vulnerabile. Cercetătorii estimează că pluginul Profile Builder poate fi instalat pe aproximativ 37.000 de site-uri și ThemeGrill Demo Importer pe aproximativ 40.000 site-uri.

Grupul Solarsalvador1234
Încă un grup care pare a fi mai sofisticat se numește Solarsalvador1234. Cercetătorii de la Defiant l-au numit astfel pentru că este numele unei adrese de e-mail adesea folosită în solicitările web care au dus la exploatare.

Acest actor de amenințare vizează și cele două pluginuri menționate mai sus, dar pe lângă acestea, grupul Solarsalvador1234 are pluginul Duplicator pe listă. Acest plugin WordPress ajută la clonarea și migrarea unui site web dintr-un loc în altul. Are peste un milion de instalații active!

Versiunile de Duplicator care sunt mai mici decât 1.3.28 sunt raportate că posedă o defecțiune de securitate care permite vizitatorilor neautentificați să descarce diferite fișiere de pe site-urile web vizate.

Acest bug este adesea folosit pentru a obține fișierul de configurare al site-ului victimă – wp-config.php care stochează acreditările utilizatorului pentru a accesa baza de date. Scopul principal este de a obține posibilități de intrare extinse și pe termen lung pe site-ul compromis.

Deci, prin exploatarea acestor trei vulnerabilități de securitate, la sfârșitul zilei, atacatorii obțin acces administrativ complet la site-urile web ale victimelor. Este important să reamintim că acele vulnerabilități sunt deja dezvăluite public și corectate.

În cazul hack-ului, proprietarii de site-uri ar trebui să se învinovățească pentru că nu au urmat cele mai bune practici de securitate și nu au actualizat la timp pluginurile WordPress de atac. Pe baza statisticilor recente, cercetătorii în securitate cred că aproximativ 800.000 de site-uri web încă mai rulează o versiune nepatchată a Duplicator.

Există multe motive pentru a crede că cele trei plugin-uri vulnerabile menționate mai sus nu sunt singurele care sunt exploatate.

Din nou, proprietarii de site-uri ar trebui să-și amintească că, odată ce orice actualizare de securitate este lansată, ar trebui să fie prioritatea lor să o instaleze, deoarece tot mai mulți hackeri atacă site-urile WordPress, găsind și exploatând rapid toate defectele de securitate noi și vechi.