Bilgisayar korsanları, web sitelerine saldırmaya karşı savunmasız olan WordPress eklentilerini aktif olarak kullanır
Yukarıda belirtilen tüm eklentilerin bir benzerliği vardır. Güvenlik araştırmacıları kısa süre önce bu eklentide bulunan kritik güvenlik hatası hakkında web sitesinin sızmasına neden olabilecek raporları paylaştılar. Tonyredball güvenlik uzmanları olarak adlandırılan düşmanlardan biri, savunmasız bir sürüme sahip WP web sitesine erişebilir: ThemEgrill Demo İthalatçısı (Sürüm 1.6.3’ün altında) Bu kusur, her kullanıcının yönetici gibi girmesine ve tüm veritabanını silmesine izin verir. Profil üreticisi (sürüm 3.1.1 altında) Bu hata, suttered olmayan kullanıcıların yönetici hakları almalarına da izin verir.
Defiant’ın Tonyredball Group güvenlik uzmanları, Tonyredball Group’un yeni yönetici hesabının e -Mail ve kullanıcı adını içeren bir web isteği kullanarak profil üreticisi eklentisindeki yönetici kayıt hatasını kullandığını gösteriyor. Aynı zamanda uzmanlar, bu hacker grubunun ithalatçı Demogrill eklentisinde bulunan veritabanının kaldırılmasını kullanan diğer birçok saldırıya karıştığına inanıyor. Themegrill demo ithalatçısının kitlesel sömürülmesinin nedeni, bunu yapma kolaylığı olabilir. Sadece bir saldırganın WordPress eklentisi aracılığıyla savunmasız bir site saldırısına bir istek göndermesini gerektirir. Profil üreticisi durumunda, saldırganın daha ciddi bir çaba göstermesi gerekiyor çünkü önce savunmasız bir form bulmaları gerekiyor. Erişim elde edildikten sonra, temaları ve eklentileri yükleme yardımıyla, bilgisayar korsanları tehlikeli komut dosyalarını WordPress kontrol paneline yükler. Tehditin failleri, WP-Block-Plugin.php, BlockSpluginn.php, Supersociall.php ve WP-Block-plugin.php gibi dosya adlarıyla ilgili çeşitli komut dosyaları kullanır. İlk sömürüden sonra, saldırgan daha fazla dosyayı enfekte etmeyi ve sitede daha geniş bir varlık elde etmeyi amaçlayan ek bir ücret gönderir. Buna ek olarak, araştırmacılar, kötü amaçlı yazılım üreticilerinin aynı sömürü yöntemine karşı savunmasız olan diğer WP sitelerini aramaya başladığını gözlemlediler.
Birçok durumda, saldırgan meşru bir JavaScript dosyasına kötü bir kod enjekte eder. Bu adımın amacı, ziyaretçileri siber alan suçluları tarafından kontrol edilen kötü bir web sitesine yönlendirecek farklı bir sunucudan bir komut dosyası yüklemektir. Şu anda, bu transfer kolayca tanınır ve sofistike değildir, ancak suçlular senaryolarını daha kurnaz olacak şekilde değiştirebilirler. Bir durumda, ziyaretçiler, tarayıcı bildiriminin açılmasına izin veren baskı isteyen Talktofranky adlı bir web sitesine yönlendirilir, Onlar gerçek insanlar ve bot değil. Ziyaretçiler bunu yaparsa, sitelerin spam dahil olmak üzere çeşitli bildirimler göndermesine izin verir.
Bu küçük bir tehdit gibi görünebilir, ancak kolayca saldırıya uğramayan bir Mac cihazının sahibi genellikle bu tür hilelerin kurbanı haline gelir. Örneğin, kullanıcılar kendilerini a.akamaihd.net gibi kötü sitelere aktarıldıklarını görürler. Güvenlik araştırmacıları, bu duruma adanmış çevrimiçi forumlardan birinde tartışmalar buldu ve birkaç kurban olduğunu gösterdi. İlginç bir şekilde, tüm Tonyredball grup saldırıları bir IP -45.129.96.17’den geliyor. Estonya yatıyor ve GMHOST adlı yerel bir barındırma sağlayıcısına tahsis ediliyor. Bu sağlayıcı, birçok siber suçluyu orada ev sahipliği yapmak için çeken kötü politikaları ile ünlüdür. Bu sağlayıcı yalnızca şikayetlere tepki vermez.
Eklenti savunmasız olduğu için kaç WordPress sitesinin etkilenebileceği çok açık değildir. Araştırmacılar, Profil Maker eklentisinin yaklaşık 37 bin siteye ve TEMAGRILL DEMO İthalatçısı yaklaşık 40 bin siteye yüklenebileceğini tahmin ediyor. SolarSalvador1234 Grup daha sofistike görünen bir gruba daha solarsalvador1234 denir. Defiant’tan araştırmacılar bunu çağırırlar, çünkü sömürüye yol açan web isteklerinde sıklıkla kullanılan e -posta adresinin adıdır. Bu tehdidin failleri de yukarıda belirtilen iki eklentiyi hedeflediler, ancak bunların yanı sıra, SolarSalvador1234 grubunun listesinde bir kopya eklentisi vardı. Bu WordPress eklentisi, web sitelerini bir yerden diğerine klonlamaya ve biggets’e yardımcı olur. Bir milyondan fazla aktif kurulum var! 1.3.28’den düşük çoğaltma sürümünün, suttersiz olmayan ziyaretçilerin hedeflenen web sitelerinden farklı dosyaları indirmesine izin veren güvenlik zayıflıklarına sahip olduğu bildirilmektedir. Bu hata genellikle veritabanlarına erişmek için kullanıcı kimlik bilgilerini depolayan kurban sitesi yapılandırma dosyasını almak için kullanılır. Ana amaç, sızdırılan web sitesinde genişletilmiş ve uzun vadeli giriş olasılığını elde etmektir. Dolayısıyla, üç güvenlik açığı kullanarak, sonunda, saldırgan kurbanın web sitesine tam idari erişim sağlar. Güvenlik açığının açıklandığını ve kamuya açıklandığını hatırlatmak önemlidir.
