• 主页
  • 文章
  • 指导
  • 新的 Linux 恶意软件利用 WP 站点中的 20 多个 CMS 漏洞

新的 Linux 恶意软件利用 WP 站点中的 20 多个 CMS 漏洞

已发表: 2023-02-06

新的 Linux 恶意软件已经出现,它利用了在 Linux 平台上运行的 WordPress 主题和网站插件中的安全漏洞。 该恶意软件执行 Javascript 以网站的源代码为目标,可以帮助网络犯罪分子发起 DDoS 攻击、访问敏感数据以及将用户重定向到恶意网站。

本文将全面概述这种新的 Linux 恶意软件,讨论它的工作原理、可被利用的 CMS 漏洞,以及可以采取哪些措施来防止此类攻击。

什么是 Linux 恶意软件攻击?

当今的许多云环境都基于 Linux 操作系统。 因此,直接针对使用 Linux 的 Web 主机的网络攻击正在增加。 通过成功渗透 Linux 环境,网络罪犯可以访问一系列敏感数据、执行恶意软件,并可能对 IT 基础设施造成长期破坏。

发现新的 Linux 恶意软件
Linux 恶意软件警告

自 2020 年以来,木马病毒和勒索软件一直是基于 Linux 的恶意软件攻击的最常见形式。

漏洞,例如最新的 WordPress CMS 漏洞,已经危及网络。 其他漏洞包括网络上缺乏身份验证或服务器配置错误。 不幸的是,此类攻击近年来相当成功,并且变得越来越复杂和多样化,给网络安全团队带来了麻烦。

Linux 恶意软件攻击的类型

威胁行为者可以通过多种不同方式执行恶意软件攻击。 以下是一些最常见的类型。

以 VM 映像为目标的恶意软件

恶意软件不断改进,寻找新的漏洞,熟练的网络犯罪分子以令人印象深刻的深思熟虑的攻击为目标。 其中一种攻击涉及针对用于处理工作负载的虚拟机 (VM) 映像。

通过这样做,威胁行为者可以获得对云上托管的宝贵资源的访问权限,从而造成破坏。

加密劫持

Cryptojacking 对于网络罪犯来说可能非常有利可图,利用受害者的 IT 资源生成加密货币。 甚至像特斯拉这样的全球公司也曾是此类攻击的受害者。

Cryptojacking 恶意软件利用缺乏高级安全性的系统,允许黑客以受害者为代价劫持系统和挖掘加密货币。

无文件 Linux 攻击

使用开源、Golang 编写的 Ezuri 工具,黑客可以加密恶意软件,在被破坏的网络上对其进行解密,并且不会在系统磁盘上留下任何痕迹。 这允许恶意软件绕过防病毒软件。

网络犯罪组织 TeamTNT 通常使用这种技术。 对于大型组织,这可能会产生极端后果,违反合规性规定。 防范此类攻击对确保 PCI 合规性和遵守其他监管准则大有帮助。

PCI合规性解释
解释 PCI 合规性

国家支持的恶意软件

民族国家团体正在增加对 Linux 环境的攻击,这在俄乌战争中尤为明显。 这些恶意软件攻击的主要目标是中断通信和破坏数据。

WP 网站如何成为新的 Linux 恶意软件的目标

网络安全专家以前不知道的一种新的 Linux 恶意软件变种一直以 WordPress 网站为目标,或者更准确地说,以 20 多个插件和主题为目标。

俄罗斯安全供应商 Doctor Web 分析了这一新威胁,强调了潜在的漏洞。 Doctor Web 的一位代表在最近的一份报告中表示,“如果网站使用此类附加组件的过时版本,缺乏关键修复,目标网页就会被注入恶意 JavaScript。 结果,当用户点击受攻击页面的任何区域时,他们将被重定向到其他站点。”

这些攻击针对具有易受攻击的插件和主题的特定网站来部署恶意软件。 这有助于创建网络犯罪分子可以远程访问的网站网络(僵尸网络),从而使他们能够进行各种活动。 JavaScript 也可以注入到远程服务器检索的系统中,重定向访问被破坏网站的用户并将他们发送到恶意网站。

除了针对 20 多个 WordPress CMS 漏洞外,该攻击的另一个后门版本还涉及一个以前未知的命令和控制 (C2) 域。

在任何一种情况下,攻击者都会使用暴力方法来渗透 WordPress 管理员帐户。 Doctor Web 补充说:“如果在较新版本的后门程序中实施这样的选项,网络犯罪分子甚至能够成功攻击一些使用当前插件版本并修补漏洞的网站。”

已被利用的 20 多个 CMS 漏洞

Linux 恶意软件利用的易受攻击的主题和插件列表包括:

  • 博客设计器(< 1.8.12)
  • 轻快的
  • 即将推出和维护模式 (<= 5.1.0)
  • 德鲁克斯SEO
  • 简易 WP SMTP (1.3.9)
  • FV Flowplayer 视频播放器
  • 杂交种
  • 通过 Zotabox 与 Messenger 客户聊天进行实时聊天(< 1.4.9)
  • ND 简码 (<= 5.8)
  • 报纸 (CVE-2016-10972, 6.4 – 6.7.1)
  • 单音
  • OpinionStage 的投票、调查、表格和测验制作工具
  • 发布自定义模板精简版(< 1.7)
  • 丰富的评论
  • 简单字段
  • Smart Google Code Inserter(2022 年 1 月 28 日停产,< 3.5)
  • 社交指标追踪器
  • 蒂姆核心
  • 总捐款 (<= 2.0.5)
  • WooCommerce
  • WordPress Ultimate 常见问题解答(CVE-2019-17232 和 CVE-2019-17233,1.24.2)
  • WPeMatico RSS 提要获取器,以及
  • WP GDPR 合规性 (1.4.2)
  • WP 在线聊天 (8.0.27)
  • WP 实时聊天支持
  • WP-Matomo 集成 (WP-Piwik)
  • WP 快速预订管理器
  • 黄色铅笔视觉 CSS 样式编辑器(< 7.2.0)
  • Yuzo 相关帖子 (5.12.89)

以前的 WordPress 恶意软件攻击

威胁情报和研究机构 Fortinet FortiGuard Labs 揭示了另一个名为 GoTrim 的僵尸网络(一组被破坏的联网设备)。 该网络是在使用 WordPress CMS 的自托管网站上使用暴力技术创建的,使他们能够完全控制系统。

到 2022 年底,GoDaddy 旗下的网站安全和保护平台 Sucuri 发现了超过 15,000 个遭到破坏的 WordPress 网站。这是整个恶意软件活动的一部分,旨在将网站访问者重定向到由网络犯罪分子控制的问答门户。 截至 2023 年 1 月,这些网站中仍有 9,000 多个被感染。

在 2022 年夏天,Sucuri 还发布了一份报告,详细介绍了一种名为“Parrot”的流量导向系统 (TDS),该系统针对使用基于 JavaScript 的恶意软件的 WordPress 网站。

如何防止 Linux 恶意软件攻击

为防止此类攻击,建议所有 WordPress 用户更新其网站的所有组件,包括任何第三方插件和主题。 作为最佳实践,用户还应该为每个用户使用强密码和唯一的登录详细信息,以提高安全性。

网站所有者还应定期备份其数据,以减少成为勒索软件攻击受害者的机会,同时还建议安装定期更新的高级安全插件。

包起来

这种新发现的攻击针对 Linux 环境中托管的 20 多个 WordPress 插件和主题,允许网络犯罪分子执行恶意软件。 其中许多攻击涉及将网站访问者重定向到虚假网站,而其他攻击则帮助黑客开发可用于一系列犯罪的僵尸网络。

WordPress 用户可以通过更新所有插件和主题并使用强登录凭据来防止此类攻击。 大多数成为恶意软件攻击受害者的网站维护不善,安装的安全性极低,并使用弱密码。