黑客们正在利用商业Word Press插件中的一个旧漏洞进入网站并安装后门。
上个月底,来自Defiant的事件响应者首次发现了正在进行的攻击,Defiant是Wordfence Word Press防火墙插件背后的公司。
攻击中被利用的漏洞影响了“WP成本估算和支付表单生成器”,这是一个用于构建以电子商务为中心的表单的商业Word Press插件,在CodeCanyon市场上已经销售了五年。
Defiant Threat Analyst Mikey Veenstra在接受ZDNet采访时说,黑客利用他们调查的被黑客入侵的网站来劫持传入的流量,并将其重定向到其他网站。他并没有排除攻击者在稍后的路线上滥用后门进行其他邪恶的活动。
在Wordfence官方博客上发表的一份报告中,Veenstra和他的同事详细阐述了被利用的脆弱性的技术细节。
他说,黑客正在滥用该插件上传功能中与AJAX相关的缺陷,在目标网站上以非感官扩展(如ngfndfgsdcas.tss)保存文件。
在开发程序的第二步中,攻击者将上传一个.htaccess文件,该文件将非标准文件扩展名与站点的PHP解释器关联起来,确保当他们稍后访问该文件时,其中包含的PHP代码将执行并激活后门。
在其他案件中,Veenstra和他的同事进行了调查,攻击者利用插件的另一个与AJAX相关的功能来删除网站的配置,并重新配置它以使用他们的恶意数据库。
根据Wordfence的说法,在v9.644之前的所有WP成本估算版本都容易受到这些攻击。好消息是,开发人员在2018年10月发布了v9.644,在一位用户抱怨他们的网站被黑客攻击之后,修复了这个bug。
坏消息是,除了在一篇如今已被埋葬的CodeCanyon评论中简短地提到的内容外,开发商没有公开披露这一安全问题,这让他的大多数用户都不知道他们可能面临的危险。
根据CodeCanyon的说法,该插件已被超过11000名用户购买。然而,CodeCanyon的脚本和插件经常被盗版,并在数百个其他网站上免费提供,而且真实世界的安装数量要高得多。
维恩斯特拉和Wordfence小组仍在调查这些攻击的规模和范围。执行隐藏重定向的后门通常是操作恶意僵尸网络的网络犯罪团伙的一部分,因此滥用这个插件缺陷的黑客可能已经进行了一段时间,并且规模很大。
商业Word Press插件和主题都是臭名昭著的坏苹果。网络安全专家经常建议不要购买和使用一个,因为它们往往在几个月或几年后被抛弃(见现在废弃的“捐赠总额”插件的故事)。
支持商业插件和主题的开发团队也不具备传送更新的手段或兴趣,因为他们通常更专注于一次性销售,然后转移到另一个新插件或主题,从那里他们可以赚新钱,而不是花费他们的时间在非生产性的方式,如修补错误。
在这种情况下,WP成本估算的开发人员似乎比废弃的“总捐赠”插件背后的开发人员可靠得多。
Wordfence团队说,他们还发现了WP成本估算中的第二个漏洞,他们私下向插件作者透露了这一漏洞,他立即修复了它。
Veenstra昨日对ZDNet表示:“商业插件有能力链接到Word Press的插件更新功能,但它们需要提供自己的存储库来发布更新。“很多人不走这条路。”
“在这种情况下,[WP成本估算]插件在破折号中正确地显示了一个更新,开发人员提到能够推动一个自动更新。”
ZDNet还询问了Veenstra在考虑购买商业插件或主题时给Word Press网站所有者的一条建议。
韦恩斯特拉告诉我们:“就一般性建议而言,我认为最大的试金石是开发人员的响应能力。“特别是在CodeCanyon上,如果你看到一个开发人员在评论和评论中建设性地回答问题和问题,这是一个很好的迹象,表明他们将接受漏洞披露和随后的补丁过程。”