Bo gdy przejąłeś dziurawego Wordpressa to nie chcesz się nim dzielić z innymi.

Nowa dziura w Wordpress czyli nihil novi

Zupełnie niedawno odkryto kolejną lukę typu zero-day w popularnej wtyczce do WordPressa a teraz okazuje się, że cyberprzestępcy wykorzystujący tę lukę zaczęli chronić witryny, na które się „włamali”, przed atakami przeprowadzanymi przez innych podobnych sobie indywiduów.

Luka w zabezpieczeniach została po raz pierwszy odkryta przez firmę Defiant, która zarejestrowała ataki na ponad 1,7 mln witryn WordPress, na których zainstalowano podatne na ataki wersje wtyczki File Manager. Jednak w ciągu ostatniego tygodnia liczba zaatakowanych witryn wzrosła do ponad 2,6 mln.

Jeśli luka zostanie skutecznie wykorzystana to umożliwia atakującym przesyłanie złośliwych plików PHP i wykonywanie dowolnego kodu w witrynach WordPress, które posiadają wtyczkę File Manager niezaktualizowaną do najnowszej wersji.

Twórcy wtyczki stworzyli i opublikowali łatkę na lukę wraz z wydaniem File Manager 6.9. Niestety, wielu właścicieli witryn nie zaktualizowało jeszcze do najnowszej wersji wtyczki, która naraża ich witryny na ataki.

Obrona zhakowanych witryn WordPress

Zgodnie z nowym raportem Defianta wielu cyberprzestępców atakuje obecnie witryny, w których działają podatne na ataki wersje wtyczki File Manager. Inżynier ds. kontroli jakości w Wordfence, Ram Gall, wyjaśnia, że dwóch z obserwowanych napastników zaczęło bronić witryn, które zhakowali:

Wiemy, że w tych atakach bierze udział wiele osób, w tym osobnik, który wcześniej odpowiadał za ataki na miliony witryn. Jednak dwóch atakujących odniosło największe sukcesy w wykorzystywaniu podatnych witryn, a obecnie osoby te chronią hasłem wrażliwe na atak pliki connector.minimal.php.

Jednym z napastników jest marokański aktor, znany z kradzieży danych uwierzytelniających użytkowników w witrynach handlu elektronicznego PrestaShop. Po przejęciu witryny WordPress, bajatax wstrzykuje złośliwy kod, który zbiera dane uwierzytelniające użytkownika za pośrednictwem Telegrama, gdy właściciel witryny loguje się na nią. Następnie te dane uwierzytelniające są sprzedawane oferentowi, który zaoferował najwyższą cenę. Drugi z głównych atakujących wstrzykuje z kolei backdoora, który jest zakamuflowany jako plik .ico, do losowego folderu, a także do katalogu głównego witryny, aby zapewnić sobie stały dostęp do zaatakowanej witryny.

Defiant zaobserwował, że obaj cyberprzestępcy używają haseł do ochrony możliwego do wykorzystania pliku connector.minimal.php w witrynach, które wcześniej zainfekowali. Gall podał dalsze szczegóły na temat tego, w jaki sposób ci dwaj cyberprzestępcy bronią witryn WordPress, do których włamali się, mówiąc:

Nasz zespół wyczyścił wiele witryn zaatakowanych przez tę lukę. W wielu przypadkach obecne jest złośliwe oprogramowanie pochodzące od wielu różnych podmiotów. Wspomniana dwójka próbuje zablokować innych atakujących i razem wykorzystuje kilka tysięcy adresów IP w swoich atakach.

Właściciele witryn WordPress, którzy mają zainstalowaną wtyczkę File Manager, powinni natychmiast zaktualizować oprogramowanie do wersji 6.9, aby nie paść ofiarą potencjalnych ataków, zwłaszcza teraz, gdy cyberprzestępcy zintensyfikowali swoje wysiłki.

https://www.techradar.com/news/hacked-wordpress-sites-are-being-defended-by-their-attackers