Situs WordPress di-backdoor setelah serangan rantai pasokan FishPig

Situs WordPress di-backdoor setelah serangan rantai pasokan FishPig

Ini baru sekitar satu minggu, dan jelas setidaknya ada tiga lubang kritis di plugin dan alat WordPress yang sedang dieksploitasi secara liar sekarang untuk membahayakan banyak situs web.

Kita akan mulai dengan FishPig, pembuat perangkat lunak berbasis di Inggris yang mengintegrasikan suite e-niaga Magento Adobe ke situs web yang didukung WordPress. Sistem distribusi FishPig dikompromikan dan produknya diubah sehingga instalasi kode semi-otomatis diunduh dan menjalankan trojan Rekoobe Linux.

Pakaian Infosec Sansec meningkatkan alarm minggu ini perangkat lunak FishPig bertingkah aneh: ketika panel kontrol penerapan dikunjungi oleh pengguna staf Magento yang masuk, kode akan secara otomatis mengambil dan menjalankan dari sistem back-end FishPig biner Linux yang ternyata adalah Rekoobe. Ini akan membuka pintu belakang yang memungkinkan penjahat untuk mengontrol kotak dari jarak jauh.

Setelah itu, penjahat bisa mengintai pelanggan, mengubah atau mencuri data, dan sebagainya.

Per FishPig’s penyingkapan, produknya diubah paling cepat 6 Agustus, dan kode yang menyinggung telah dihapus. Kami diberitahu bahwa versi berbayar terutama terpengaruh. Versi gratis dari modul FishPig yang tersedia di GitHub kemungkinan besar bersih.

Jika Anda menggunakan perangkat lunak komersial FishPig, Anda harus menginstal ulang alat dan memeriksa tanda-tanda kompromi.

Menurut FishPig, “yang terbaik adalah mengasumsikan bahwa semua modul FishPig Magento 2 berbayar telah terinfeksi.” Tidak diketahui secara pasti berapa banyak pelanggan yang terjebak dalam serangan rantai pasokan, meskipun Sansec mengatakan paket Magento gratis perusahaan telah diunduh secara kolektif lebih dari 200.000 kali. Itu tidak berarti ada jumlah pengguna berbayar yang sebanding, meskipun itu memberi Anda gambaran tentang minat pada alat FishPig.

Meskipun tidak diketahui secara pasti bagaimana penyerang membobol server back-end FishPig, hasilnya jelas: kode ditambahkan ke file License.php pada sistem FishPig yang diambil dan dijalankan produknya saat digunakan. File PHP ini telah diubah sehingga akan mengunduh dan mengeksekusi biner berbahaya yang juga dihosting di platform FishPig. Ergo, pengguna staf mengakses panel kontrol penyebaran FishPig mereka, License.php yang di-host dari jarak jauh diambil dan dijalankan, dan ini secara otomatis menjalankan Rekoobe di server web pengguna.

License.php biasanya memeriksa untuk memastikan penyebaran dibayar dan dilisensikan dengan tepat, oleh karena itu mengapa itu direferensikan secara rutin.

Setelah Rekoobe menginfeksi sebuah host, ia menghapus file-filenya dan tetap tersembunyi di dalam memori sebagai sebuah proses, di mana ia menunggu perintah dari satu alamat IP yang terletak secara geografis di Latvia. Sansec mengatakan mereka mengharapkan dalang caper ini untuk menjual akses ke server yang dikompromikan melalui serangan rantai pasokan ini.

Rekoobe telah beredar di internet dalam berbagai bentuk sejak ditemukan pada tahun 2015. Varian Rekoobe yang digunakan dalam serangan ini tampaknya telah ditulis. tidak lebih awal dari 2018menurut analisis Intezer.

Per Intezer, versi Rekoobe yang lebih baru menunjukkan alamat server C2 hard-coded dan mencoba untuk mengganti nama proses mereka sendiri, seperti halnya dalam contoh FishPig ini.

Perusahaan e-niaga yang menjalankan salah satu FishPig’s plugin atau integrasi – gratis atau berbayar – harus mengikuti aturan perusahaan langkah-langkah deteksi dan mitigasi yang ditentukan. FishPig mengatakan pelanggan yang terkena dampak juga dapat menjangkau “layanan pembersihan gratis untuk siapa saja yang khawatir bahwa ini memengaruhi situs mereka dan membutuhkan bantuan untuk menyelesaikannya.”

Tapi tunggu, masih ada lagi

Selain itu, Wordfence laporan bulan ini plugin WordPress bernama BackupBuddy, dengan perkiraan 140.000 instalasi, diserang secara aktif. Perangkat lunak ini memiliki kerentanan, diperbaiki dalam versi 8.7.5, yang dapat dieksploitasi untuk mengunduh file, termasuk informasi sensitif, dari instalasi yang rentan.

Wordfence juga minggu ini dikatakan lubang keamanan zero-day di plugin bernama WPGateway sedang dieksploitasi di alam liar untuk menambahkan akun administrator berbahaya ke situs web yang rentan. Kami belum mengetahui patch yang tersedia untuk itu. ®