Mere end 100 000 websteder, der kører på content management system i WordPress er for nylig blevet inficeret af en mystisk malware. Når smittet stederne bliver platforme for angreb, lastning ondsindede koder i websider, der er indtastet af seerne.
Sikkerhed forskere bekræfter, at denne malware kampagne har gjort Google mark mere end 11 000 domæner som værende ondsindet. Denne kampagne blev opkaldt SoakSoak, efter det første domæne, der blev kompromitteret. Ifølge Sucuri selskab, der hjælper webstedsoperatører sikre deres servere dog, der er mange andre steder er blevet spottet som bliver kompromitteret. Eksperterne sikkerhed fra Sucuri har fundet ud af, at infektionen skyldes en sårbarhed over for en malware angreb vektor kaldet RevSlider. Dette er en WordPress plugin, der er blevet beskrevet gennem flere underjordiske fora i starten af september. Eksperter siger, at denne sårbarhed er kendt som lokal fil Inclusion angreb, der gør det muligt for hackeren at få adgang til og hente en lokal fil på serveren. Sådanne sårbarheder skal sorteres straks.
Sucuri selskab har konstateret et angreb, der forårsager inficerede websteder at indlæse en meget korrumperet angreb kode på hver webside, og at koden indeholder følgende komponenter:
→(“%28%0D funktion () { % .. 72ipt.id = 'xxyyzz_petushok «; head.appendChild (script); } () );”));
Denne særlige kode gør siderne downloade ondsindet payload fra hxxp: //soaksoak.ru/xteas/code. Baseret på kommentarer fra brugerne, administratorerne af nogle af de hjemmesider blev overrasket over at forstå, at de websteder, de overvåger er smittet. Processen med desinfektion af disse hjemmesider kræver fjernelse af skadelig kode, der er føjet til et script, som er placeret i wp-includes / template-loader.php. Dette gør det til en JavaScript-fil, der kan indlæses i hver side på webstedet. Når afkodes det kan indlæse malware.
Alle admins af WordPress-platformen, der tilfældigvis bruge plugin Slider Revolution nødt til at sikre, at den er opdateret. Alligevel, malware forskere har svært ved at få alle de hjemmesider anvender rettelsen på en universel måde. Dette er så plugin RevSlider er en præmie plugin, ikke noget, der let kan opgraderes, og dermed dette plugin bliver farlig for ejeren af hjemmesiden. Det bliver endnu mere alvorligt, som nogle af hjemmesiden ejere kender ikke de rent faktisk besidder dette plugin i deres miljø, som det kommer i en pakke med deres temaer.
Den malware kampagne SoakSoak fungerer ved hjælp af forskellige bagdør nyttelast, injiceret i tekster eller billeder. De kan bruges til at installere nye administrator brugere og således give mulighed for kontrol over websted for en lang periode.
Sikkerhedsforanstaltningerne specialister fra Sucuri selskab anførte endvidere, at de har fundet sikkerhedsproblemer i andre WordPress plugins som f.eks WPTouch (5,670,626 downloads), Disqus (1,400,003 downloads), All In One SEO Pack (19,152,355 downloads), og MailPoet Nyhedsbreve (1,894,474 downloads).
Sikkerhedsforanstaltningerne specialister bemærker også, at rengøring af de inficerede sites er ikke let. De bemærker, at der er særlige anbefalinger online at rådgivning brugerne at erstatte swfobject.js og skabelon-loader.php filer for at fjerne infektionen. Denne aktivitet er dog ikke en garanti, da det vil fjerne infektionen, men vil ikke lukke bagdøre og indgange, der anvendes i første omgang, og dermed hjemmesiden kan blive smittet igen. De ondsindede angreb behøver ikke kun at blive renset, men også for at blive stoppet. Dette kan gøres ved et websted firewall, som kan reducere de mulige angreb fra malware.
De sikkerhedseksperter er opmuntrende brugerne til at opdatere til den nyeste tilgængelige version og derefter kontrollere og rense admin brugerliste fra deres database for at forhindre andre infektioner.