Mer enn 100 000 nettsteder som kjører på content management system av WordPress har nylig blitt smittet av en mystisk malware. Når smittet nettstedene blir plattformer for angrep, lasting ondsinnede koder inn i websider som er angitt av seerne.
Sikkerhet forskere bekrefte at dette malware kampanjen har gjort Google mark mer enn 11 000 domener som er skadelig. Denne kampanjen ble kåret SoakSoak, etter den første domenet som ble kompromittert. Ifølge Sucuri selskap som hjelper nettstedet operatører sikre sine servere imidlertid, det er mange andre nettsteder har blitt oppdaget som blir kompromittert. De sikkerhetseksperter fra Sucuri har funnet ut at infeksjonen var forårsaket av en sårbarhet for en malware angrepsvektor kjent som RevSlider. Dette er en WordPress plugin som har blitt avslørt gjennom flere underjordiske fora i begynnelsen av september. Eksperter sier at dette sikkerhetsproblemet er kjent som Local File inkluderings angrep, som gjør det mulig for angripere å få tilgang til og laste ned en lokal fil på serveren. Slike sårbarheter må sorteres ut umiddelbart.
Sucuri selskapet har observert et angrep som fører til infiserte nettsider for å laste inn en mye uklar angrep kode på hver webside, og at koden inneholder følgende komponent:
→(“%28%0D funksjon () { % .. 72ipt.id = 'xxyyzz_petushok'; head.appendChild (script); } () );”));
Dette bestemte kode gjør sidene laste ned ondsinnet nyttelast fra hxxp: //soaksoak.ru/xteas/code. Basert på kommentarer til brukerne, administratorer av noen av nettstedene ble overrasket over å forstå at nettstedene de overvåker er smittet. Prosessen med desinfeksjon av disse nettstedene krever fjerning av skadelig kode som er lagt til et script som ligger på wp-includes / mal-loader.php. Dette gjør det til en Javascript-fil som kan lastes inn i hver side på nettstedet. Når dekodet det kan laste malware.
Alle admins av WordPress-plattformen som tilfeldigvis bruke plugin Slider revolusjonen må sørge for at den er oppdatert. Selv så, malware forskere synes det er vanskelig å få alle nettstedene bruke reparasjonen på en universell måte. Dette er slik som plugin RevSlider er en premium plugin, ikke noe som lett kan oppgraderes og dermed denne plugin blir farlig for eieren av nettstedet. Det blir enda mer alvorlig som noen av eiere ikke vet at de faktisk besitter denne plugin i deres miljø, som det kommer i en pakke med sine temaer.
Malware kampanje SoakSoak fungerer ved hjelp av ulike bakdør nyttelast, injisert i tekster eller bilder. De kan brukes til å installere nye administratorbrukere og dermed gi mulighet for kontroll over nettsiden for en lang periode.
Sikkerhets spesialister fra Sucuri selskap uttalte videre at de har funnet sikkerhetsproblemer i andre WordPress plugins som WPTouch (5,670,626 nedlastinger), Disqus (1,400,003 nedlastinger), All In One SEO Pack (19,152,355 nedlastinger), og MailPoet Nyhetsbrev (1,894,474 nedlastinger).
Sikkerhets spesialister også oppmerksom på at rengjøring av de infiserte nettstedene er ikke lett. De bemerker at det er konkrete anbefalinger på nettet som råd brukerne å erstatte swfobject.js og mal-loader.php filer for å fjerne infeksjonen. Denne aktiviteten er imidlertid ikke en garanti, som det vil fjerne infeksjonen, men vil ikke stenge bakdører og inngangspunktene som brukes i første omgang og dermed nettsiden kan bli smittet på nytt. Den ondsinnede angrep trenger ikke bare å være rengjort, men også for å bli stoppet. Dette kan gjøres ved en nettside brannmur, som kan redusere mulige angrep av skadelig programvare.
De sikkerhetseksperter oppfordrer brukerne til å oppdatere til den nyeste tilgjengelige versjonen, og deretter kontrollere og rengjøre admin brukerlisten fra deres database for å forhindre andre infeksjoner.