Dėl naujos kenkėjiškų programų kampanijos buvo pažeista daugiau nei 5 000 „WordPress“ svetainių, kad būtų galima sukurti administratoriaus paskyras, įdiegti kenkėjišką papildinį ir pavogti duomenis.
Interneto scenarijaus saugos įmonės c/side tyrėjai, reaguodami į incidentą vienam iš savo klientų, nustatė, kad kenkėjiška veikla naudoja wp3(.)xyz domeną duomenims išfiltruoti, bet dar nenustatė pradinio infekcijos vektoriaus.
Pažeidus tikslą, kenkėjiškas scenarijus, įkeltas iš domeno wp3(.)xyz, sukuria nesąžiningą administratoriaus paskyrą wpx_admin su kredencialais, esančiais kode.
Šaltinis: c/side
Tada scenarijus pradeda įdiegti kenkėjišką papildinį (plugin.php), atsisiųstą iš to paties domeno, ir suaktyvina jį pažeistoje svetainėje.
Remiantis c/cide, papildinio tikslas yra rinkti neskelbtinus duomenis, pvz., administratoriaus kredencialus ir žurnalus, ir nusiųsti juos į užpuoliko serverį užmaskuotu būdu, kad jie būtų rodomi kaip vaizdo užklausa.
Ataka taip pat apima kelis patikrinimo veiksmus, pvz., operacijos būsenos registravimą sukūrus nesąžiningą administratoriaus paskyrą ir kenkėjiško papildinio įdiegimo patikrinimą.
Išpuolių blokavimas
c/side rekomenduoja svetainių savininkams blokuoti „wp3(.)xyz“ domeną naudojant ugniasienes ir saugos įrankius.
Be to, administratoriai turėtų peržiūrėti kitas privilegijuotas paskyras ir įdiegtų įskiepių sąrašą, kad nustatytų neteisėtą veiklą, ir kuo greičiau juos pašalinti.
Galiausiai, rekomenduojama sustiprinti CSRF apsaugą „WordPress“ svetainėse generuojant unikalų prieigos raktą, tikrinant serverio pusę ir periodiškai atkuriant. Žetonų galiojimo laikas turi būti trumpas, kad būtų apribotas jų galiojimo laikas.
Kelių veiksnių autentifikavimo įdiegimas taip pat padidina paskyrų, kurių kredencialai jau buvo pažeisti, apsaugą.
