Οι επιθέσεις φαίνεται να είναι έργο ενός hacker, ο οποίος τον τελευταίο μήνα χρησιμοποίησε τουλάχιστον 24.000 διευθύνσεις IP για να στείλει κακόβουλο λογισμικό σε πάνω από 900.000 ιστοσελίδες.

Μετά τις 28 Απριλίου οι προσπάθειες παραβίασης έγιναν πιο έντονες ενώ η εταιρεία ασφαλείας του WordPress, Defiant, που κατασκεύασε το plugin ασφαλείας Wordfence, εντόπισε, στις 3 Μαΐου, πάνω από 20 εκατομμύρια επιθέσεις σε περισσότερες από 500.000 ιστοσελίδες.

Ο υπεύθυνος QA, Ram Gall, της Defiant δήλωσε ότι ο hacker έχει εστιάσει πιο πολύ στην εκμετάλλευση cross–site scripting (XSS) ευπαθειών σε plugins που έχουν διορθωθεί στο παρελθόν και έχουν στοχοποιηθεί σε άλλες επιθέσεις.

Η ανακατεύθυνση των επισκεπτών σε κακόβουλες διαφημίσεις είναι μια επιτυχημένη προσπάθεια hacking επίθεσης. Αν ο χρήστης έχει συνδεθεί στον browser που εκτελεί το JavaScript, ο κώδικας προσπαθεί να εισάγει ένα PHP backdoor στο header file, μαζί με ακόμα ένα JavaScript. Στη συνέχεια, το backdoor παίρνει ένα άλλο payload και το αποθηκεύει στο header προσπαθώντας να το εκτελέσει. Με αυτό τον τρόπο ο hacker μπορεί να αλλάζει το payload σε webshell, κωδικός που δημιουργεί έναν κακόβουλο διαχειριστή ή διαγράφει το περιεχόμενο ενός ολόκληρου site. Στην ανακοίνωσή της η Defiant συμπεριέλαβε τους δείκτες έκθεσης στο τελικό payload.

Εδώ είναι η λίστα των ευπαθειών που φαίνεται να είναι πιο στοχοποιημένες και τα Plugins έχουν είτε αφαιρεθεί ή διορθωθεί παλαιότερα, σύμφωνα με τον Gall.

  • Μια ευπάθεια XSS, στο Easy2Map plugin, η οποία αφαιρέθηκε από το WordPress τον Αύγουστο του 2019, και εκτιμάται να έχει εγκατασταθεί σε λιγότερο από 3.000 ιστοσελίδες.
  • Μια ευπάθεια σε options update του WP GDPR Compliance, που επέτρεπε στους εισβολείς, μεταξύ άλλων, να αλλάξουν το URL των site και διορθώθηκε στα τέλη του 2018. Παρά το γεγονός ότι αυτό το plugin ξεπέρασε τις 100.000 προσθήκες, εκτιμάται ότι δεν έχουν προσβάλει περισσότερες από 5.000 ιστοσελίδες.
  • Μια XSS ευπάθεια, στο Blog Designer, η οποία διορθώθηκε το 2019. Υπολογίζεται ότι παραμένουν λιγότερες από 1.000 ευάλωτες εγκαταστάσεις, αν και αυτή η ευπάθεια αποτελούσε στόχο προηγούμενων hacking εκστρατειών.
  • Μια ευπάθεια σε options update στο Total Donations που επιτρέπει στους hackers να αλλάξουν τη διεύθυνση URL της αρχικής σελίδας του ιστότοπου. Αυτό το plugin καταργήθηκε οριστικά από το Envato Marketplace στις αρχές του 2019 και υπολογίζεται ότι απομένουν λιγότερες από 1.000 συνολικές εγκαταστάσεις.
    Μια ευπάθεια XSS στο Newspaper theme που διορθώθηκε το 2016. Αυτή η ευπάθεια έχει επίσης στοχευτεί στο παρελθόν.

Πηγή: amp.secnews.gr