假外掛程式會在每次管理員啟用時通知攻擊者
熱門的部落格平台WordPress最近出現後門和假Wordpress外掛程式,該後門程式偽裝成一個超過100,000次的安裝的防垃圾訊息工具:WP-SpamShield Anti-Spam;冒牌外掛則夾帶三個零時差漏洞。
標記為X-WP-SPAM-SHIELD-PRO的後門程式據報會停用其他安全相關工具、竊取資料並加入隱藏的管理員帳號。安全研究人員發現假外掛程式有看似正常的結構和檔案名稱,但它們其實都是假的。此外,後門程式可以讓攻擊者上傳任何東西到網站上。
假外掛程式會在每次管理員啟用時通知攻擊者。外掛程式中有一個檔案名為“class-social-facebook.php”,看起來似乎是用來封鎖可能的Facebook垃圾訊息。但進事實它會停用啟用中外掛,導致網站無法正常使用。另外兩個名為“class-term-metabox-formatter.php”和“class-admin-user-profile.php”則被攻擊者用來收集資料。
還有一個名為“plugin-header.php”的檔案則會新增一個管理員帳號,這可以讓攻擊者刪除漏洞攻擊檔案,同時還會顯示目標攻擊網站的使用者名稱、密碼和電子郵件。
零時差漏洞
同時,使用某些外掛程式的網站可能成為受害者,因為在一些WordPress外掛中發現零時差漏洞:Appointments,RegistrationMagic-Custom Registration Forms和Flickr Gallery。
被稱為PHP Object Injection Vulnerability Security 9.8的漏洞可以讓攻擊者操縱網站來取得遠端檔案(一個PHP後門程式)並將其儲存到想要的位置。這做法不需要身份驗證或提升權限。對於運行Flickr Gallery的網站,只需要將漏洞攻擊碼用POST請求發送到網站根網址就可以完成工作。至於Appointments和RegistrationMagic-Custom Registration,請求要發送到admin-ajax.php。如果攻擊者可以連到外掛程式的後門就可以控制這有漏洞的網站。
解決方案
發現的漏洞已經下列版本修補:
- Appointments by WPMU Dev (在2.2修復)
- Flickr Gallery by Dan Coulter (在5.3修復)
- RegistrationMagic-Custom Registration Forms by CMSHelpLive (在7.9.3修復)
IT專業人員和Web開發人員/程式開發者可以透過以下最佳實作來減少網頁平台(如WordPress)可能面對的威脅:
- Web開發人員必須假設所有使用者產生的輸入都是惡意的。加以驗證和消毒是必須的。白名單( 拒絕白名單外的所有輸入)是可以安全處理輸入的方式之一。
- 嚴格驗證CSS屬性、HTML屬性和XML解析器內不受信任的資料(同時維持網站/應用程式外觀),這對強化網頁應用程式/網頁來對抗入侵是必要的。
- 必須定期安裝更新和修補程式來防止系統和軟體漏洞被攻擊。
- 停用外部解析也有助於減輕基於XXE的阻斷服務攻擊。
- 開發人員應停用網站、資料庫或網頁應用程式運作所用不到的元件。這些只會增加你的受攻擊面。
- 使用防火牆、入侵偵測和防禦系統、虛擬修補和網址分類以及強制性修補程式管理政策等做法可以顯著地降低系統受攻擊面。
- IT專業人員應強制執行權限管理政策以減少需要管理權限才能進行的攻擊。開發人員也同樣可以限制網站/應用程式內的使用者權限,並且加密或散列登入憑證和其他敏感資料(像是連線字串)。
趨勢科技的端點解決方案(如趨勢科技趨勢科技 Smart Protection Suites 和Worry-Free Pro)可以偵測和封鎖惡意檔案及所有相關惡意網址來保護終端用戶和企業免於這些威脅。
趨勢科技的趨勢科技Deep Security和趨勢科技 Vulnerability Protection 漏洞防護提供虛擬修補功能來保護伺服器和端點免於針對WordPress外掛漏洞的威脅。趨勢科技 OfficeScan™的Vulnerability Protection可以保護端點對抗可識別及未知的漏洞攻擊,甚至在修補程式部署之前。趨勢科技的趨勢科技Deep Discovery進階網路安全防護利用特製引擎、客製化沙箱和橫跨整個攻擊生命週期的無縫關聯技術來對漏洞攻擊進行偵測、深入分析和主動式回應,甚至無須更新引擎或特徵碼就可以偵測到威脅。
@原文出處:WordPress Woes: A Fake Plugin and Three Zero-Day Vulnerabilities Found