ПредWordPress: Нов зловреден софтуер за Linux използва над две дузини недостатъци на CMS

Сайтовете на WordPress са обект на неизвестен досега щам на зловреден софтуер за Linux, който използва недостатъци в над две дузини плъгини и теми, за да компрометира уязвими системи.

„Ако сайтовете използват остарели версии на такива добавки, в които липсват важни поправки, целевите уебстраници се инжектират със злонамерени JavaScripts“, заяви руският доставчик на услуги за сигурност Doctor Web в доклад, публикуван миналата седмица. „В резултат на това, когато потребителите щракнат върху някоя област на атакуваната страница, те биват пренасочвани към други сайтове.“

Атаките включват въоръжаване със списък от известни уязвимости в сигурността на 19 различни плъгина и теми, които вероятно са инсталирани на сайта на WordPress, като той се използва за разгръщане на имплант, който може да се насочи към конкретен уебсайт, за да се разшири допълнително мрежата.

Той също така е способен да инжектира JavaScript код, извлечен от отдалечен сървър, за да пренасочи посетителите на сайта към произволен уебсайт по избор на нападателя.

Doctor Web съобщи, че е идентифицирал втора версия на задната врата, която използва нов домейн за командване и управление (C2), както и актуализиран списък с недостатъци, обхващащ 11 допълнителни приставки, с което общият им брой достига 30.

Целевите плъгини и теми са следните:

WP Live Chat Support
Yuzo Related Posts
Yellow Pencil Visual CSS Style Editor
Easy WP SMTP
WP GDPR Compliance
Newspaper (CVE-2016-10972)
Thim Core
Smart Google Code Inserter (discontinued as of January 28, 2022)
Total Donations
Post Custom Templates Lite
WP Quick Booking Manager
Live Chat with Messenger Customer Chat by Zotabox
Blog Designer
WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
WP-Matomo Integration (WP-Piwik)
ND Shortcodes
WP Live Chat
Coming Soon Page and Maintenance Mode
Hybrid
Brizy
FV Flowplayer Video Player
WooCommerce
Coming Soon Page & Maintenance Mode
Onetone
Simple Fields
Delucks SEO
Poll, Survey, Form & Quiz Maker by OpinionStage
Social Metrics Tracker
WPeMatico RSS Feed Fetcher, and
Rich Reviews

И за двата варианта се казва, че включват неимплементиран метод за грубо насилване на администраторски акаунти в WordPress, въпреки че не е ясно дали това е остатък от по-ранна версия или функционалност, която все още не е видяла бял свят.

„Ако подобна опция бъде реализирана в по-новите версии на задната врата, киберпрестъпниците ще могат да атакуват успешно дори някои от тези уебсайтове, които използват актуални версии на плъгините с поправени уязвимости“, казват от компанията.

На потребителите на WordPress се препоръчва да поддържат всички компоненти на платформата в актуално състояние, включително добавките и темите от трети страни. Препоръчва се също така да използват силни и уникални login имена и пароли, за да защитят своите акаунти.

Разкритието идва няколко седмици след като Fortinet FortiGuard Labs подробно описа друг ботнет, наречен GoTrim, който е предназначен за грубо насилване на самостоятелно хоствани уебсайтове, използващи системата за управление на съдържанието (CMS) WordPress, за да завладее контрола над целевите системи.

Преди два месеца Sucuri отбеляза, че повече от 15 000 WordPress сайта са били пробити като част от злонамерена кампания за пренасочване на посетителите към фалшиви портали за въпроси и отговори. В момента броят на активните инфекции е 9 314.

През юни 2022г. компанията за сигурност на уебсайтове, собственост на GoDaddy, също така сподели информация за система за насочване на трафика (TDS), известна като Parrot, за която се наблюдава, че е насочена към WordPress сайтове с измамен JavaScript, който пуска допълнителен зловреден софтуер в хакнатите системи.

Източник: The Hacker News

Подобни публикации

6 февруари 2023

Новият крипто токен Dingo начислява такса за тр...

Изследователи от компанията за ИТ сигурност Check Point security са...
6 февруари 2023

#9 Cyber Security Talks Bulgaria ще се проведе...

След страхотното събитие на КиберКЛУБ // CyberCLUB е отново време з...
4 февруари 2023

Нов рансъмуер използва грешка във VMware и се ...

Хипервайзорите VMware ESXi са мишена на нова вълна от атаки, предна...
3 февруари 2023

Разкрити са нови уязвимости в сигурността при е...

Две нови слабости в сигурността, открити в няколко системи за зареж...
3 февруари 2023

Google Ads популяризира "виртуализиран" зловред...

Продължаваща кампания за злонамерена реклама в Google разпространяв...
2 февруари 2023

Нови варианти на руския шпионския софтуер Gamar...

Държавният център за киберзащита (ДЦКЗ) на Украйна назова официално...
1 февруари 2023

Microsoft спря продажбата на Windows 10 по-рано

Слагайки край на една епоха, Microsoft вече не продава директно про...
1 февруари 2023

Как правилно да скриете чувствителен текст в PD...

Цифровите документи вече са важна част от повечето бизнес и правите...
1 февруари 2023

Не знаете къде са вашите тайни

Знаете ли къде са вашите тайни? Ако не, може  да се каже: не сте са...
Бъдете социални
Още по темата
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
03/02/2023

Google Ads популяризира "ви...

Продължаваща кампания за злонамерена реклама в...
28/01/2023

Украйна: Sandworm удари ин...

Украинският екип за реагиране при компютърни...
Последно добавени
06/02/2023

Новият крипто токен Dingo н...

Изследователи от компанията за ИТ сигурност...
06/02/2023

#9 Cyber Security Talks Bul...

След страхотното събитие на КиберКЛУБ //...
04/02/2023

Нов рансъмуер използва гре...

Хипервайзорите VMware ESXi са мишена на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!