Kritické chyby ve pluginech

Publikoval/a WP24 dne

Hackeři se pokoušejí převzít desítky tisíc webů WordPress.
Díry v zásuvných modulech jim umožňují vytvářet nepoctivé účty správce a zasazovat zadní vrátka.

Útoky na weby WordPress začaly 27.2.2020 zaměřením na uloženou chybu XSS nalezenou v modulu Flexibilní pokladny pro zásuvný modul WooCommerce s 20 000 aktivními instalacemi.

Zatímco vývojový tým zásuvného modulu WP Desk vydal verzi 2.3.2, aby opravil aktivně cílenou bezpečnostní chybu do hodiny po obdržení zprávy o odhalení od NinTechNet, někteří uživatelé byli už napadeni.

Zaměřeny byly také další tři útoky

Při analýze rozsahu těchto probíhajících útoků vědci z bezpečnostní firmy WordPress Defiant zjistili tři další chyby, které mají dopad na další pluginy WordPress, které jsou nyní také aktivně využívány:

Vývojáři za Async JavaScript a 10Web Map Builder pro Mapy Google již vydali záplaty pro dvě chyby aktivně využívané ( 1 , 2 ), zatímco Modern Calendar Calendar Lite stále čeká na opravu.

„Tato útočná kampaň zneužívá zranitelnosti XSS ve výše uvedených pluginech k vložení škodlivého Javascriptu, který může vytvářet nepoctivé administrátory WordPress a instalovat škodlivé pluginy, které zahrnují zadní vrátka,“ řekl analytik Defiant hrozeb Mikey Veenstra . „Je důležité, aby administrátoři stránek, kteří používají tyto pluginy, neprodleně podnikli kroky ke zmírnění těchto útoků.“

„Bereme proces zpřístupňování informací o bezpečnosti velmi vážně a tyto podrobnosti bychom nezveřejnili, pokud by nebylo nutné upozornit komunitu WordPress na jejich riziko uprostřed této kampaně,“ dodal.

Łukasz Spryszak WP Desk sdílel následující seznam příznaků a zkontroloval, zda vaše kampaň WordPress nebyla touto kampaní ohrožena:

  • vzhled nových administrátorských účtů, které nebyly vytvořeny sami
  • vzhled nových pluginů v seznamu pluginů, které nebyly osobně nainstalovány
  • podezřelé soubory, zejména ty s příponami .php nebo .zip, např. Woo-Add-To-Carts.zip, byly umístěny do adresáře /wp-content/uploads/
  • přeskupení polí pokladen, jejich neobvyklé chybné fungování nebo vzhled nových polí, která dosud nebyla přidána.

Útoky na weby WordPress

Kampaně, které se pokoušejí kompromitovat weby WordPress využíváním nedávno opravených nebo nulově zranitelných míst v zásuvných modulech, jsou v poslední době zuřivými útoky a stovky tisíc webů jsou vystaveny útokům .

Například, jak BleepingComputer nahlásil začátkem tohoto týdne, útočníci se pokoušejí o úplné kompromitování nebo vymazání webů WordPress využitím nevyužitých verzí ThemeGrill Demo Importer, Profile Builder a Duplicator pluginů s nahlášeným počtem 1 250 000 aktivních instalací.

Minulý týden byla v kampani, jejímž konečným cílem bylo vytvoření účtů správce a úplné převzetí, také aktivně zneužita nula-denní chyba zabezpečení umožňující vzdálené spuštění kódu, která byla nalezena v zásuvném modulu WordPress ThemeREX Addons s odhadovaným počtem více než 40 000 aktivních instalací. přes zranitelná místa.

Útočníci mohou také zacílit na další kritické chyby pluginu WordPress, jako jsou například četné chyby nalezené v zásuvném modulu WordPress GDPR Cookie Consent, který používá více než 700 000 webů, které lze použít k vložení škodlivého kódu JavaScript nebo k opravě chyby sfalšování kódu CSRF (cross-site request) plugin Snippets s více než 200 000 instalacemi, který umožňuje převzetí stránek.

V neposlední řadě mohou hackeři zneužít dvě zranitelnosti objevené v open-source WP Database Reset WordPress plugin pro úplné převzetí stránek a / nebo reset databáze, pokud instalace nejsou aktuální.

Zdroj: bleepingcomputer.com


WP24

Od roku 2008 se věnuji WordPressu. Za tu dobu jsem posbíral nespočet zkušeností a vytvořil stovku projektů.