仅仅过了一周左右,显然 WordPress 插件和工具中至少存在三个关键漏洞,这些漏洞现在正被广泛利用来破坏大量网站。
我们将从总部位于英国的软件制造商 FishPig 开始,它将 Adobe 的 Magento 电子商务套件集成到 WordPress 驱动的网站中。FishPig 的分发系统遭到破坏,其产品被更改,因此代码的安装半自动下载并运行 Rekoobe Linux 特洛伊木马。
Infosec 公司 Sansec本周发出警报,称 FishPig 的软件行为怪异:当登录的 Magento 员工用户访问部署的控制面板时,该代码将自动从 FishPig 的后端系统获取并运行一个 Linux 二进制文件,结果是成为Rekoobe。这将打开一个后门,允许不法分子远程控制盒子。
在那之后,骗子可以窥探客户、更改或窃取数据等等。
根据 FishPig 的披露,其产品早在 8 月 6 日就进行了更改,此后违规代码已被删除。我们被告知付费版本主要受到影响。GitHub 上可用的 FishPig 模块的免费版本可能很干净。
如果您使用的是 FishPig 的商业软件,您应该重新安装这些工具并检查是否存在入侵迹象。
根据 FishPig 的说法,“最好假设所有付费的 FishPig Magento 2 模块都已被感染。” 尽管 Sansec 表示该公司的免费 Magento 软件包已被集体下载超过 200,000 次,但尚不清楚有多少客户被卷入了供应链攻击。这并不一定意味着有相当数量的付费用户,尽管它让您了解对 FishPig 工具的兴趣。
虽然尚不清楚攻击者是如何侵入 FishPig 的后端服务器的,但结果很清楚:代码被添加到 FishPig 系统上的 License.php 文件中,其产品在使用时获取并执行该文件。该 PHP 文件已被更改,以便下载并执行同样托管在 FishPig 平台上的恶意二进制文件。因此,员工用户访问他们的 FishPig 部署的控制面板,获取并运行更改后的远程托管 License.php,这会自动在用户的 Web 服务器上运行 Rekoobe。
License.php 通常会检查以确保部署得到适当的支付和许可,因此经常引用它。
一旦 Rekoobe 感染了主机,它就会删除其文件并作为一个进程隐藏在内存中,等待来自位于拉脱维亚的单个 IP 地址的命令。Sansec 表示,它预计这次行动的策划者会出售对通过这次供应链攻击而受损的服务器的访问权限。
自 2015 年被发现以来,Rekoobe 一直以各种形式在互联网上流传。根据 Intezer 的分析,这次攻击中使用的 Rekoobe 变体似乎是在2018 年之前编写的。
根据 Intezer,较新版本的 Rekoobe 显示硬编码的 C2 服务器地址并尝试重命名它们自己的进程,就像这个 FishPig 实例中的情况一样。
运行任何 FishPig插件或集成(免费或付费)的电子商务公司应遵循公司规定的检测和缓解措施。FishPig 表示,受影响的客户还可以联系“任何担心这会影响他们的网站并需要帮助来解决问题的人”。
但是等等,还有更多
最重要的是,Wordfence 本月报告称,一个名为 BackupBuddy 的 WordPress 插件,估计有 140,000 次安装,正受到主动攻击。该软件有一个漏洞,已在 8.7.5 版中修复,可用于从易受攻击的安装中下载文件,包括敏感信息。
Wordfence 本周还表示,一个名为 WPGateway 的插件中的零日安全漏洞正在被广泛利用,以将恶意管理员帐户添加到易受攻击的网站。我们还不知道有可用的补丁。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 在FishPig遭受供应链攻击后,WordPress驱动的网站被后门