•  ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ДЛЯ ГОСУДАРСТВЕННОГО СЕКТОРА ЭКОНОМИКИ, ЧАСТНОГО БИЗНЕСА, ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ  
Исследование «Доктор Веб»: Linux-бэкдор взламывает сайты под управлением WordPress

Исследование «Доктор Веб»: Linux-бэкдор взламывает сайты под управлением WordPress

Компания «Доктор Веб» выявила вредоносную программу для ОС Linux, которая взламывает сайты на базе CMS WordPress через эксплуатацию 30 уязвимостей в ряде плагинов и тем оформления для этой платформы. Если на сайтах используются устаревшие версии таких плагинов без необходимых исправлений, в целевые веб-страницы внедряются вредоносные JavaScript-скрипты. После этого при клике мышью в любом месте атакованной страницы пользователи перенаправляются на другие ресурсы. 

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА..

logo.jpg   РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
Dr.Web Комплект для малого бизнеса
Комплексная защита enterprise-класса для предприятий малого и среднего масштаба. Подробнее>>
Dr.Web Desktop Security Suite
Защита рабочих станций, клиентов терминальных серверов, клиентов виртуальных серверов и клиентов встроенных систем. Dr.Web для Windows, Linux,  Mac OS X. Консольные сканеры Dr.Web для Windows, MS DOS, OS/2. Подробнее>>
Dr.Web Server Security Suite
Защита файловых серверов, серверов приложений (в том числе, терминальных и виртуальных серверов). Подробнее>>
Dr.Web Mail Security Suite
Система антивирусной и антиспам-обработки больших потоков сообщений для Unix/MS, Exchange/IBM, Lotus Domino/Kerio. Подробнее>>
Dr.Web Gateway Security Suite
Фильтрация интернет-трафика на вирусы и спам. Подробнее>>
Dr.Web Enterprise Security Suite
Единое решение для защиты всех узлов корпоративной сети и единый центр управления. Подробнее>>
Dr.Web Комплекты «Для школ»
Специальные цены для учреждений дошкольного, начального, среднего и дополнительного образования. Подробнее>>


Решения Dr.Web для защиты бизнеса. Купить Dr.Web Enterprise Security Suite. Датасистем. Переход в онлайн магазин Dr.Web (ПО "Доктор Веб")

Киберпреступники на протяжении многих лет атакуют сайты на базе WordPress. Эксперты по информационной безопасности наблюдают за случаями, когда для взлома интернет-ресурсов и внедрения в них вредоносных скриптов применяются различные уязвимости платформы и ее компонентов. Проведенный специалистами «Доктор Веб» анализ обнаруженной троянской программы показал, что она может быть тем вредоносным инструментом, с помощью которого злоумышленники более 3 лет совершали подобные атаки и зарабатывали на перепродаже трафика — арбитраже.
Вредоносная программа, получившая по классификации Dr.Web имя Linux.BackDoor.WordPressExploit.1, предназначена для работы на устройствах под управлением 32-битных ОС семейства Linux, однако может функционировать и в 64-битных системах. Linux.BackDoor.WordPressExploit.1 — это бэкдор, которым злоумышленники управляют дистанционно. По их команде он способен выполнять следующие действия:
- атаковать заданную веб-страницу (сайт);
- переходить в режим ожидания;
- завершать свою работу;
- останавливать ведение журнала выполненных действий.
Основной функцией трояна является взлом веб-сайтов на базе системы управления контентом WordPress и внедрение вредоносного скрипта в их веб-страницы. Для этого он использует известные уязвимости в плагинах для WordPress, а также в темах оформления сайтов. Перед атакой троян связывается с управляющим сервером и получает от него адрес веб-ресурса, который требуется взломать. Затем Linux.BackDoor.WordPressExploit.1 по очереди пытается эксплуатировать уязвимости в устаревших версиях следующих плагинов и тем, которые могут быть установлены на сайте:
WP Live Chat Support Plugin
WordPress – Yuzo Related Posts
Yellow Pencil Visual Theme Customizer Plugin
Easysmtp
WP GDPR Compliance Plugin
Newspaper Theme on WordPress Access Control (уязвимость CVE-2016-10972)
Thim Core
Google Code Inserter
Total Donations Plugin
Post Custom Templates Lite
WP Quick Booking Manager
Faceboor Live Chat by Zotabox
Blog Designer WordPress Plugin
WordPress Ultimate FAQ (уязвимости CVE-2019-17232, CVE-2019-17233)
WP-Matomo Integration (WP-Piwik)
WordPress ND Shortcodes For Visual Composer
WP Live Chat
Coming Soon Page and Maintenance Mode
Hybrid
В случае успешной эксплуатации одной или нескольких уязвимостей в целевую страницу внедряется загружаемый с удаленного сервера вредоносный JavaScript. При этом инжектирование происходит таким образом, что при загрузке зараженной страницы данный JavaScript будет инициирован самым первым, — независимо от того, какое содержимое было на странице ранее. В дальнейшем при клике мышью в любом месте зараженной страницы пользователи будут перенаправлены на нужный злоумышленникам сайт.

Пример инжекта в одной из взломанных страниц:

Вместе с текущей модификацией этой троянской программы наши специалисты также выявили ее обновленную версию — Linux.BackDoor.WordPressExploit.2. Она отличается от исходной адресом управляющего сервера, адресом домена, с которого загружается вредоносный скрипт, а также дополненным списком эксплуатируемых уязвимостей для следующих плагинов:Brizy WordPress PluginFV Flowplayer Video PlayerWooCommerceWordPress Coming Soon PageWordPress theme OneToneSimple Fields WordPress PluginWordPress Delucks SEO pluginPoll, Survey, Form & Quiz Maker by OpinionStageSocial Metrics TrackerWPeMatico RSS Feed FetcherRich Reviews plugin

Троянская программа ведет статистику своей работы: она отслеживает общее число атакованных сайтов, все случаи успешного применения эксплойтов и дополнительно — число успешных эксплуатаций уязвимостей в плагине WordPress Ultimate FAQ и Facebook-мессенджере* от компании Zotabox. Кроме того, он информирует удаленный сервер обо всех выявленных незакрытых уязвимостях.
Вместе с текущей модификацией этой троянской программы наши специалисты также выявили ее обновленную версию — Linux.BackDoor.WordPressExploit.2. Она отличается от исходной адресом управляющего сервера, адресом домена, с которого загружается вредоносный скрипт, а также дополненным списком эксплуатируемых уязвимостей для следующих плагинов:
Brizy WordPress Plugin
FV Flowplayer Video Player
WooCommerce
WordPress Coming Soon Page
WordPress theme OneTone
Simple Fields WordPress Plugin
WordPress Delucks SEO plugin
Poll, Survey, Form & Quiz Maker by OpinionStage
Social Metrics Tracker
WPeMatico RSS Feed Fetcher
Rich Reviews plugin
При этом в обоих вариантах трояна была обнаружена нереализованная функциональность для взлома учетных записей администраторов атакуемых веб-сайтов методом грубой силы (брутфорс) — подбором логинов и паролей по имеющимся словарям. Можно предположить, что данная функция присутствовала в более ранних модификациях, либо, наоборот, запланирована злоумышленниками для будущих версий вредоносного приложения. Если такая возможность появится в других версиях бэкдора, киберпреступники смогут успешно атаковать даже часть тех сайтов, где используются актуальные версии плагинов с закрытыми уязвимостями.
Компания «Доктор Веб» рекомендует владельцам сайтов на базе CMS WordPress вовремя обновлять все компоненты платформы, включая сторонние плагины и темы, а также использовать надежные и уникальные логины и пароли к учетным записям.
* Деятельность социальной сети Facebook запрещена на территории России.

Материал подготовлен: Доктор Веб

Сертифицированные ФСТЭК России программные продукты Dr.Web

logo.jpg   ССЫЛКА ПО ТЕМЕКаталог программного обеспечения Dr.Web для бизнеса
Переход в он-лайн магазин Датасиcтем - официального Поставщика Dr.Web в Российской Федерации. Перейти на сайт Поставщика>>

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.