Technologiczne, Gadżety, Telefony Komórkowe, Pobieranie Aplikacji

Trwa masowy atak hakerów 1.6 Milion witryn WordPress

Uwaga: Poniższy artykuł pomoże Ci w: Trwa masowy atak hakerów 1.6 Milion witryn WordPress

W grudniu 92021 r. zespół Wordfence Threat Intelligence zauważył ogromną liczbę ataków hakerskich, których celem były określone luki w zabezpieczeniach.

Luki te umożliwiają atakującym aktualizację różnych opcji w witrynach, które są podatne na ataki.

Sieć Wordfence w ciągu ostatnich 36 godzin od 8 do 9 grudnia: zablokował ponad 13.7 milion ataków których celem były co najmniej cztery różne wtyczki.

Celem były także niektóre motywy, takie jak motywy Epsilon Framework.

Ataki te mają szeroki zakres i pochodzą z 16 000 różnych adresów IP i mogą potencjalnie wpłynąć na ponad 1.6 milion witryn.

Badanie danych dotyczących ataku

Wtyczki, które są celem, obejmują:

  • Kiwi Social Share – aktualizacja od 12 listopada 2018 r
  • WordPress Automatic – załatany od 23 sierpnia 2021 r
  • Pinterest Automatyczny – poprawiono od 23 sierpnia 2021 r
  • Możliwości PublishPress
  • Motywy frameworka Epsilon

Dzieje się tak dlatego, że w witrynach, w których są zainstalowane te wtyczki, rozprzestrzenia się luka w zabezpieczeniach dotycząca nieuwierzytelnionej, dowolnej aktualizacji opcji.

Nie wspominając już o tym, że celem jest luka w zabezpieczeniach Function Injection w motywach Epsilon Framework.

Celem tych ataków jest przejęcie kontroli nad dowolnym kontem użytkownika z rolą „administratora”.

Ostateczny cel końcowy oznacza, że ​​wszystkie te losowo dostępne konta mogą przejąć kontrolę nad tymi witrynami. Po takim ataku każdy zły aktor stojący za atakiem może go posiadać.

Wordfence podaje, że do grudnia atakujący, którzy atakowali te luki, wykazali bardzo małą aktywność 82021.

Wysuwają uzasadnione przypuszczenie, że załatane luki mogły zainspirować tych złych aktorów do wybrania dowolnych luk w aktualizacjach opcji w jednej dużej kampanii skierowanej do tysięcy witryn.

Atakujący obierają za cel i aktualizują następującą opcję: users_can_register. Włączają tę opcję, a opcja default_role jest ustawiona na „administrator”, aby mogli łatwo przejąć witrynę.

Wordfence stwierdza:

Jeśli w witrynie znajduje się podatna na ataki wersja którejkolwiek z czterech wtyczek lub różnych motywów i istnieje konto nieuczciwego użytkownika, oznacza to, że prawdopodobnie doszło do naruszenia bezpieczeństwa witryny za pośrednictwem jednej z tych wtyczek. Proszę natychmiast usunąć wszystkie wykryte konta użytkowników.

Które adresy IP są adresami IP naruszającymi przepisy?

Wordfence podaje, że wśród 10 najczęściej naruszających przepisy adresów IP w ciągu ostatnich 36 godzin od 8 grudnia znalazło się:

144.91.111.6 z 430 067 zablokowanymi atakami.
185.9.156.158 z zablokowanymi 277 111 atakami.
195.2.76.246 z zablokowanymi 274 574 atakami.
37.187.137.177 z 216 888 zablokowanymi atakami.
51.75.123.243 z zablokowanymi 205 143 atakami.
185.200.241.249 z zablokowanymi 194 979 atakami.
62.171.130.153 z zablokowanymi 192 778 atakami.
185.93.181.158 z zablokowanymi 181 508 atakami.
188.120.230.132 z zablokowanymi 158 873 atakami.
104.251.211.115 z zablokowanymi 153 350 atakami.

Jaka jest waga tych luk?

Są niesamowicie poważne. W rezultacie źli aktorzy mogą przejąć Twoją witrynę. Wyobraźmy sobie więc, że dzieje się to na znacznie większą skalę w porównaniu z pojedynczą witryną.

Ogromna sieć kontaktów, którą ci źli aktorzy zyskają w wyniku tych działań, jest bezprecedensowa.

Tak, ci źli aktorzy mogą wykorzystać te sieci do tworzenia linków prowadzących do swoich witryn.

Których wtyczek i motywów dotyczy problem?

Wordfence zgłasza, że ​​następujące wtyczki i wersje zostały naruszone:

Poniżej znajdują się wtyczki, których dotyczy problem i ich wersje:

  • Możliwości PublishPress <= 2.3
  • Wtyczka społecznościowa Kiwi <= 2.0.10
  • Pinterest Automatyczny <= 4.14.3
  • WordPress Automatyczny <= 3.53.2

Poniżej znajdują się wersje motywów Epsilon Framework, których dotyczy problem:

  • Zgrabna <=1.2.8
  • NewsMag <=2.4.1
  • Aktywnie <=1.4.1
  • Illdy <=2.1.6
  • Wierny <=1.2.5
  • Gazeta X <=1.3.1
  • Pixova Lite <=2.0.6
  • Blask <=1.2.9
  • MedZone Lite <=1.2.5
  • Regina Lite <=2.0.5
  • Przekraczaj <=1.1.9
  • Zamożni <1.1.0
  • Zwariowani <=1.0.5
  • Antreas <=1.0.6

NatureMag Lite – nie jest znana żadna łatka. Zalecane odinstalowanie ze strony.

Konkluzja: zaktualizuj swoje wtyczki i motywy, jeśli uruchomisz którykolwiek z wymienionych na liście, których dotyczy problem

Powinieneś mieć już pobrane zaktualizowane i załatane wtyczki, gdy je pobierzesz i zainstalujesz.
W zaktualizowanych i załatanych wersjach te luki zostaną naprawione.

Za każdym razem, gdy ogłaszany jest poważny atak tego typu, zawsze dobrze jest upewnić się, że zaktualizowałeś wszystkie wtyczki i motywy, których to dotyczy.