Zlonamjerni softver napada WordPress stranice

Zlonamjerni softver koji napad WordPress stranice su otkrili sigurnosni istraživači kompanije Doctor Web, a riječ je o napadu koji iskorištava oko 30 sigurnosnih ranjivosti u ne ažuriranim WordPress dodacima i temama.

wordpress-malware

Image by Pete Linforth from Pixabay

Linux zlonamjerni softver

Konkretno je riječ o Linux baziranom zlonamjernom softveru koji iskorištava ranjivosti u 32/64 bitnim sistemima i omogućava napadaču daljinski pristup. Ako napadnuta stranica ima neku od ranjivosti koju napadač koristi u ovom napadu, dolazi do ubacivanja Java kôda, koji kada korisnik klikne bilo gdje na napadnutoj stranici preusmjerava korisnika na stranicu po želji napadača.

Sigurnosni istraživači su ovaj zlonamjerni softver nazvali  Linux.BackDoor.WordPressExploit.1 i o je ustvari backdoor koji se daljinski kontroliše od strane napadača. On može da izvrši napad na određenu stranicu, da se prebaci u režim pripravnosti, da se isključi ili da zaustavi evidentiranje svojih radnji.

 

Funkcionisanje

Ipak, glavna funkcionalnost je preuzimanje kontrole nad WordPress CMS (Content Management System) baziranim Internet stranicama i ubacivanje zlonamjernog kôda u njih. Prije napada, zlonamjerni softver kontaktira sa komandnim serverom od kojeg dobija adrese Internet stranica za napad. U sljedećem koraku Linux.BackDoor.WordPressExploit.1 pokušava da iskoristi ranjivosti u sljedećim ne ažuriranim WordPress dodacima i temama:

  • WordPress – Yuzo Related Posts
  • WP Live Chat Support Plugin
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (ranjivost CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Facebook Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (ranjivosti CVE-2019-17232 i CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid

Ako se ranjivost uspješno iskoristi, u napadnutu Internet stranicu se ubacuje Java kôd koji se preuzima sa udaljenog servera. Sada, kada se zaražena Internet stranica otvori,  Java kôd se pokreće prvi bez obzira na sve ostale elemente stranice. U ovom trenutku, posjetilac ove stranice može kliknuti bilo gdje na zaraženoj stranici i on će biti preusmjeren na drugu Internet stranicu po želji napadača.

Pored svega, zlonamjerni softver prikuplja i statističke podatke. On prati broj zaraženih stranica, svaku pojedinačnu ranjivost koja je iskorištena za uspješan napad i na kraju broj uspješnih napada korištenjem ranjivosti u WordPress Ultimate FAQ dodatku i Facebook messenger from Zotabox dodatku. Na kraju sve ove podatke šalje udaljenom serveru pod kontrolom napadača.

wordpress-water

Image by Kevin Phillips from Pixabay

Linux zlonamjerni softver verzija 2

Pored ove verzije, sigurnosni istraživači su otkrili i unaprijeđenu verziju ovog zlonamjernog softvera Linux.BackDoor.WordPressExploit.2. Od originale verzije se razlikuje po drugoj adresi komandnog servera, drugoj adresi domena sa koje preuzima zlonamjerni Java kôd i dodatnoj listi ranjivosti koje iskorištava u sljedećim WordPress dodacima:

 

  • FV Flowplayer Video Player
  • Brizy WordPress Plugin
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

 

Dodatne mogućnosti

Sigurnosni istraživači su u obije varijante otkrili još uvijek nerealizovanu funkcionalnost za preuzimanje administratorskih korisničkih naloga korištenjem iscrpljujućeg napada (eng. brute-force) sa upotrebom poznatih korisničkih imena i lozinki, kako i korištenjem specijalnih rječnika. Nije moguće odrediti da li je ova funkcionalnost ostala iz prethodnih verzija ili se planira koristiti u nekim budućim verzijama ovog zlonamjernog softvera. Ako dođe do upotrebe ove funkcionalnosti u budućim verzijama, napadači mogu dobiti mogućnost napada na potpuno ažurirane Internet stranice.

 

Zaštita

Korisnicima Internet stranica baziranih na WordPress platformi se preporučuje da sve komponente na ovoj platformi budu ažurirane, uključujući dodatke i teme i da koriste jake lozinke sa sa jedinstvenim nalozima za prijavu. Korisnicima se savjetuje koji koriste WordPress dodatke i teme za koje nema više podrške ili dostupnih ažuriranja, treba iste da zamjene sa drugim odgovarajućim dodacima ili temama za koje je dostupna podrška.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.