Main menu

Pages

Nach Angriff auf die Lieferkette von FishPig entführte WordPress-Sites • The Register

Meta description

Es ist erst ungefähr eine Woche her, und es gibt offensichtlich mindestens drei kritische Lücken in den WordPress-Plugins und -Tools, die derzeit in freier Wildbahn ausgenutzt werden, um jede Menge Websites zu kompromittieren.

Wir beginnen mit FishPig, einem in Großbritannien ansässigen Softwarehersteller, der die E-Commerce-Suite Magento von Adobe in WordPress-basierte Websites integriert. Die Distributionssysteme von FishPig wurden kompromittiert und seine Produkte so modifiziert, dass Installationen des Codes den Linux-Rekoobe-Trojaner halbautomatisch herunterladen und ausführen.

Das Sansec-Team von Infosec schlug diese Woche Alarm, dass sich die Software von FishPig seltsam verhielt: Wenn das Control Panel einer Bereitstellung von einem eingeloggten Magento-Benutzer besucht wurde, holte sich Code automatisch eine Linux-Binärdatei, die von Back-End-Systemen abgerufen und ausgeführt wurde stellte sich als Rekoobe heraus. Dies würde eine Hintertür öffnen, die es Schurken ermöglicht, die Box fernzusteuern.

Danach könnten Gauner Kunden ausspionieren, Daten verändern oder stehlen usw.

Laut der Offenlegung von FishPig wurden seine Produkte bereits am 6. August modifiziert, und der anstößige Code wurde seitdem entfernt. Uns wird mitgeteilt, dass hauptsächlich die kostenpflichtigen Versionen betroffen waren. Die auf GitHub verfügbaren kostenlosen Versionen von FishPig-Modulen waren wahrscheinlich sauber.

Wenn Sie kommerzielle Software von FishPig verwenden, sollten Sie die Tools neu installieren und auf Anzeichen einer Kompromittierung prüfen.

Laut FishPig ist es „am besten anzunehmen, dass alle kostenpflichtigen FishPig-Magento-2-Module infiziert wurden“. Es ist unklar, wie viele Kunden genau von dem Angriff auf die Lieferkette betroffen waren, obwohl Sansec sagte, dass die kostenlosen Magento-Pakete des Unternehmens insgesamt mehr als 200.000 Mal heruntergeladen wurden. Das bedeutet nicht zwangsläufig, dass es eine vergleichbare Zahl zahlender Nutzer gibt, lässt aber erahnen, wie groß das Interesse an den Tools von FishPig ist.

Während es unklar ist, wie genau die Angreifer in die Backend-Server von FishPig eingedrungen sind, war das Ergebnis eindeutig: Der License.php-Datei auf den Systemen von FishPig wurde Code hinzugefügt, den seine Produkte abrufen und ausführen, wenn sie verwendet werden. Diese PHP-Datei wurde modifiziert, um eine bösartige Binärdatei herunterzuladen und auszuführen, die ebenfalls auf der Plattform von FishPig gehostet wird. Daher greift ein Mitarbeiterbenutzer auf das Control Panel seiner FishPig-Bereitstellung zu, die modifizierte, remote gehostete License.php-Datei wird abgerufen und ausgeführt, wodurch Rekoobe automatisch auf dem Webserver des Benutzers ausgeführt wird.

License.php überprüft normalerweise, ob die Bereitstellung ordnungsgemäß bezahlt und lizenziert ist, weshalb konsequent darauf verwiesen wird.

Sobald Rekoobe einen Host infiziert, löscht es seine Dateien und bleibt als Prozess im Speicher verborgen, wo es auf Befehle von einer einzigen geolokalisierten IP-Adresse in Lettland wartet. Sansec sagte, er erwarte, dass der Mastermind dieser Umarmung den Zugang zu den Servern verkauft, die durch diesen Angriff auf die Lieferkette kompromittiert wurden.

Rekoobe geistert seit seiner Entdeckung im Jahr 2015 in verschiedenen Verkleidungen im Internet umher. Die bei diesem Angriff verwendete Variante von Rekoobe scheint laut Intezers Analyse nicht vor 2018 geschrieben worden zu sein.

Laut Intezer zeigen neuere Versionen von Rekoobe hartcodierte C2-Serveradressen an und versuchen, ihren eigenen Prozess umzubenennen, wie es in dieser FishPig-Instanz der Fall ist.

E-Commerce-Unternehmen, die Plugins oder Integrationen von FishPig ausführen – kostenlos oder kostenpflichtig – sollten die vom Unternehmen vorgeschriebenen Erkennungs- und Minderungsmaßnahmen befolgen. FishPig sagte, dass betroffene Kunden auch „einen kostenlosen Reinigungsservice für alle anfordern können, die besorgt sind, dass dies ihre Website beeinträchtigt und Hilfe bei der Lösung benötigt“.

Aber warte, es gibt noch mehr

Darüber hinaus berichtet Wordfence diesen Monat, dass ein WordPress-Plugin namens BackupBuddy mit rund 140.000 Installationen aktiv angegriffen wurde. Die Software weist eine in Version 8.7.5 behobene Schwachstelle auf, die ausgenutzt werden kann, um Dateien, einschließlich vertraulicher Informationen, von anfälligen Installationen herunterzuladen.

Wordfence sagte diese Woche auch, dass eine Zero-Day-Sicherheitslücke in einem Plugin namens WPGateway in freier Wildbahn ausgenutzt wird, um böswillige Administratorkonten zu anfälligen Websites hinzuzufügen. Uns ist noch kein verfügbarer Patch dafür bekannt. ®

Blog In 2021 joker0o xyz

Commentaires