bug-in-wordpress-plugin-can-let-hackers-5e4bf475ab8a310001fbc023-1-feb-20-2020-14-13-43-poster.jpg

en hackergrupp har försökt kapa nästan en miljon WordPress-webbplatser under de senaste sju dagarna, enligt en säkerhetsvarning som utfärdats idag av cybersäkerhetsföretaget Wordfence.

företaget säger att sedan den 28 April har denna speciella hackergrupp engagerat sig i en hackingskampanj av massiva proportioner som orsakade en 30x uptick i volymen av attacktrafik Wordfence har spårat.

”medan våra register visar att denna hotskådespelare kan ha skickat ut en mindre mängd attacker tidigare, är det bara de senaste dagarna som de verkligen har rampat upp”, säger Ram Gall, QA-ingenjör på Wordfence.

Gall säger att gruppen lanserade attacker från över 24 000 olika IP-adresser och försökte bryta sig in på mer än 900 000 WordPress-webbplatser.

attackerna toppade söndagen den 3 maj när gruppen lanserade mer än 20 miljoner exploateringsförsök mot en halv miljon domäner.

Gall säger att gruppen främst utnyttjade cross-site scripting (XSS) sårbarheter för att plantera skadlig JavaScript-kod på webbplatser, för att omdirigera inkommande trafik till skadliga webbplatser.

den skadliga koden skannade också inkommande besökare för inloggade administratörer och försökte sedan automatisera skapandet av bakdörrskonton via de intet ont anande administratörsanvändarna.

Wordfence säger att hackarna använde ett brett spektrum av sårbarheter för sina attacker. De olika teknikerna som observerats under den senaste veckan beskrivs nedan:

  1. en XSS-sårbarhet i Easy2Map-plugin, som togs bort från WordPress-plugin-arkivet i augusti 2019. Wordfence säger att exploateringsförsök för denna sårbarhet stod för mer än hälften av attackerna, trots att plugin installerades på mindre än 3,000 WordPress-webbplatser.
  2. en XSS-sårbarhet i Blog Designer som patchades 2019. Wordfence säger att detta plugin används grovt av 1000, och att denna sårbarhet också var målet för andra kampanjer.
  3. en options update-sårbarhet i WP GDPR-efterlevnad patchad i slutet av 2018 vilket skulle göra det möjligt för angripare att ändra webbplatsens hemadress utöver andra alternativ. Även om detta plugin har mer än 100 000 installationer, uppskattade Wordfence att det inte finns mer än 5 000 sårbara installationer kvar.
  4. ett alternativ uppdaterar sårbarhet i totala donationer som skulle göra det möjligt för angripare att ändra webbplatsens hemadress. Detta plugin togs bort permanent från Envato Marketplace i början av 2019, men Wordfence säger att mindre än 1 000 totala installationer kvarstår.
  5. en XSS sårbarhet i tidningen tema som lappades i 2016. Denna sårbarhet har också riktats tidigare.

men Wordfence varnar också för att hotskådespelaren är sofistikerad nog för att utveckla nya exploater och sannolikt kommer att svänga till andra sårbarheter i framtiden.

WordPress webbplatsägare uppmanas att uppdatera teman och plugins som de har installerat på sina webbplatser, och eventuellt installera en website application firewall (WAF) plugin för att blockera attacker, om de kan få riktade.

Lämna ett svar

Din e-postadress kommer inte publiceras.