Grėsmės veikėjas pakeitė mažiausiai penkių WordPress.org prieglobų šaltinio kodą, kad įtrauktų kenkėjiškus PHP scenarijus, sukuriančius naujas paskyras su administravimo privilegijomis juos veikiančiose svetainėse.
Ataką vakar aptiko „Wordfence Threat Intelligence“ komanda, tačiau atrodo, kad kenkėjiškos injekcijos buvo įvykdytos praėjusios savaitės pabaigoje, nuo birželio 21 iki birželio 22 d.
Kai tik „Wordfence“ aptiko pažeidimą, bendrovė apie tai pranešė įskiepių kūrėjams, todėl vakar buvo išleisti pataisymai daugumai produktų.
Kartu penki papildiniai buvo įdiegti daugiau nei 35 000 svetainių:
- Social Warfare 4.4.6.4–4.4.7.1 (ištaisyta 4.4.7.3 versijoje)
- „Blaze Widget“ 2.2.5–2.5.2 (ištaisyta 2.5.4 versijoje)
- Wrapper Link Element 1.0.2–1.0.3 (ištaisyta 1.0.5 versijoje)
- 7 kontaktinės formos kelių žingsnių priedas nuo 1.0.4 iki 1.0.5 (ištaisyta 1.0.7 versijoje)
- Tiesiog parodykite kabliukus nuo 1.2.1 iki 1.2.2 (pataisymas dar nepasiekiamas)
„Wordfence“ pažymi, kad ji nežino, kaip grėsmės veikėjui pavyko gauti prieigą prie priedų šaltinio kodo, tačiau vyksta tyrimas.
Nors gali būti, kad ataka paveiks didesnį skaičių „WordPress“ papildinių, dabartiniai įrodymai rodo, kad kompromisas apsiriboja pirmiau minėtais penkiais.
Užpakalinių durų veikimas ir IoC
Kenkėjiškas kodas užkrėstuose įskiepiuose bando sukurti naujas administratoriaus paskyras ir suleisti SEO šlamštą į pažeistą svetainę.
„Šiame etape žinome, kad įvesta kenkėjiška programa bando sukurti naują administracinę vartotojo abonementą ir tada siunčia šią informaciją atgal į užpuoliko valdomą serverį“, – aiškina „Wordfence“.
„Be to, atrodo, kad grėsmės veikėjas taip pat įterpė kenkėjišką „JavaScript“ į svetainių poraštę, kuri, atrodo, prideda SEO šlamšto visoje svetainėje.
Duomenys perduodami IP adresu 94.156.79[.]8, o savavališkai sukurtos administratoriaus paskyros pavadintos „Options“ ir „PluginAuth“, sako mokslininkai.
Svetainių savininkai, pastebėję tokias paskyras arba srautą į užpuoliko IP adresą, turėtų atlikti visišką kenkėjiškų programų nuskaitymą ir išvalyti.
Wordfence pažymi, kad kai kurie paveikti papildiniai buvo laikinai pašalinti iš WordPress.org, todėl vartotojai gali gauti įspėjimus, net jei jie naudoja pataisytą versiją.