Плагины WordPress продолжают подвергаться атакам хакеров, использующих украденные учетные данные (из других утечек данных) для получения прямого доступа к коду плагина. Что делает эти атаки особенно тревожными, так это то, что эти атаки на цепочку поставок могут проникнуть незаметно, поскольку компрометация выглядит для пользователей как плагины с обычным обновлением.

Атака на цепочку поставок

Наиболее распространенная уязвимость — когда программный недостаток позволяет злоумышленнику внедрить вредоносный код или запустить какой-либо другой вид атаки, недостаток находится в коде. Но атака на цепочку поставок — это когда само программное обеспечение или компонент этого программного обеспечения (например, сторонний скрипт, используемый в программном обеспечении) напрямую изменяется вредоносным кодом. Это создает ситуацию, когда само программное обеспечение доставляет вредоносные файлы.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) дает определение атаке на цепочку поставок (PDF):

«Атака на цепочку поставок программного обеспечения происходит, когда злоумышленник проникает в сеть поставщика программного обеспечения и использует вредоносный код для компрометации программного обеспечения до того, как поставщик отправит его своим клиентам. Затем скомпрометированное программное обеспечение ставит под угрозу данные или систему клиента.

Недавно приобретенное программное обеспечение может быть скомпрометировано с самого начала, или компрометация может произойти с помощью других средств, таких как исправление или хотфикс. В этих случаях компрометация все еще происходит до того, как исправление или хотфикс попадают в сеть клиента. Эти типы атак затрагивают всех пользователей скомпрометированного программного обеспечения и могут иметь широкомасштабные последствия для правительства, критической инфраструктуры и клиентов программного обеспечения частного сектора».

Для этой конкретной атаки на плагины WordPress злоумышленники используют украденные пароли, чтобы получить доступ к учетным записям разработчиков, имеющим прямой доступ к коду плагина, и добавить вредоносный код в плагины с целью создания учетных записей пользователей уровня администратора на каждом веб-сайте, использующем взломанные плагины WordPress.

ЧИТАТЬ  Зачем мне подписываться на вас, чтобы вы могли присылать мне уведомления? [или как впарить промокод за подписку в Telegram]

Сегодня Wordfence объявил, что были идентифицированы дополнительные плагины WordPress, которые были скомпрометированы. Вполне возможно, что будет больше плагинов, которые были или будут скомпрометированы. Поэтому хорошо понимать, что происходит, и быть активными в защите сайтов, находящихся под вашим контролем.

Еще больше плагинов WordPress атакованы

Wordfence выпустил предупреждение о том, что еще больше плагинов подверглись взлому, включая очень популярный плагин для подкастинга PowerPress Podcasting от Blubrry.

Вот недавно обнаруженные скомпрометированные плагины, о которых сообщил Wordfence:

  • Статистика работоспособности сервера WP (wp-server-stats): 1.7.6
    Исправленная версия: 1.7.8
    10 000 активных установок
  • Защита от недействительных кликов по рекламе (AICP) (ad-invalid-click-protector): 1.2.9
    Исправленная версия: 1.2.10
    30 000+ активных установок
  • Плагин PowerPress Podcasting от Blubrry (powerpress): 11.9.3 – 11.9.4
    Исправленная версия: 11.9.6
    40 000+ активных установок
  • Последняя инфекция – SEO-оптимизированные изображения (seo-optimized-images): 2.1.2
    Исправленная версия: 2.1.4
    10 000+ активных установок
  • Последнее заражение – Модули – Пользовательские типы контента и поля (модули): 3.2.2
    Исправленная версия: В настоящее время исправленная версия не требуется.
    100 000+ активных установок
  • Последнее заражение — изображение Twenty20 «до» и «после» (twenty20): 1.6.2, 1.6.3, 1.5.4
    Исправленная версия: В настоящее время исправленная версия не требуется.
    20 000+ активных установок

Вот первая группа взломанных плагинов:

  • Социальная война
  • Пламенный виджет
  • Элемент ссылки оболочки
  • Контактная форма 7 Многошаговый аддон
  • Просто покажите крючки

Дополнительную информацию об атаке на цепочку поставок плагинов WordPress можно найти здесь.

Что делать при использовании взломанного плагина

Некоторые плагины были обновлены для устранения проблемы, но не все. Независимо от того, был ли скомпрометированный плагин исправлен для удаления вредоносного кода и обновлен ли пароль разработчика, владельцам сайтов следует проверить свою базу данных, чтобы убедиться, что на веб-сайт WordPress не добавлены мошеннические учетные записи администратора.

ЧИТАТЬ  Ответы на 10 главных вопросов о локальном поиске

Атака создает учетные записи администратора с именами пользователей «Options» или «PluginAuth», поэтому именно за этими именами следует следить. Однако, вероятно, будет хорошей идеей поискать любые новые учетные записи пользователей уровня администратора, которые не распознаны, на случай, если атака разовьется и хакеры будут использовать другие учетные записи администратора.

Владельцы сайтов, использующие бесплатную версию Wordfence или Pro-версию плагина безопасности Wordfence WordPress, получают уведомление, если обнаруживается взломанный плагин. Пользователи плагина профессионального уровня получают сигнатуры вредоносных программ для немедленного обнаружения зараженных плагинов.

Официальное предупреждение Wordfence об этих новых зараженных плагинах гласит:

«Если у вас установлен какой-либо из этих плагинов, вам следует считать, что ваша установка скомпрометирована, и немедленно перейти в режим реагирования на инциденты. Мы рекомендуем проверить ваши учетные записи администраторов WordPress и удалить все несанкционированные учетные записи, а также запустить полное сканирование на наличие вредоносных программ с помощью плагина Wordfence или Wordfence CLI и удалить любой вредоносный код.

Пользователи Wordfence Premium, Care и Response, а также платные пользователи Wordfence CLI имеют сигнатуры вредоносного ПО для обнаружения этого вредоносного ПО. Бесплатные пользователи Wordfence получат такое же обнаружение после 30-дневной задержки 25 июля 2024 года. Если вы используете вредоносную версию одного из плагинов, сканер уязвимостей Wordfence уведомит вас о том, что на вашем сайте есть уязвимость, и вам следует обновить плагин, если он доступен, или удалить его как можно скорее».

Читать далее:

Плагины WordPress взломаны в самом источнике – атака на цепочку поставок

Еще 3 плагина заражены в ходе атаки на цепочку поставок WordPress.org из-за раскрытия паролей разработчиков

Главное изображение от Shutterstock/Moksha Labs



Source link