Aktiv XSS Attacks Targeting Amp til WP WordPress Plugin

Sårbarheder blev for nylig opdaget i den populære AMP for WP plugin, der tillader enhver registreret bruger at udføre administrative handlinger på et WordPress-websted. Det er nu blevet opdaget, at et aktivt XSS-angreb er i gang, der retter sig mod disse samme sårbarheder for at installere bagdøre og oprette slyngelagtige adminkonti på et sårbart WordPress-websted.

Sårbarhederne i AMP til WP-plugin skyldes manglende godkendelseskontrol, når der udføres adminhandlinger i ældre versioner af plugin'et. Som vi rapporteret i går, blev der udgivet en ny version (0.9.97.20) for to uger siden, der løser disse problemer.

Desværre er det stadig, som mange brugere ikke ved, om sikkerhedsproblemerne eller ikke opdateret deres software, en god vektor til angreb.

Ifølge undersøgelsen af ​​WordFence-trusselanalytiker Mikey Veenstra er der en løbende kampagne, der udnytter disse sårbarheder til at udføre et XSS-angreb mod webstedets administratorer ved at indsprøjte et ondsindet script til sårbare WordPress-websteder.

"Alle forekomster synes at være automatiserede," fortalte Veenstra BleepingComputer. "På grund af tilstedeværelsen af ​​en vejledende brudt bruger-agent-streng" Mozilla / 5.0 (Windows NT 6.1; Win64; x64; rv "på alle identificerede angreb i denne kampagne samt den konsekvente formatering af nyttelast på trods af et stort antal angribende IP'er , er det usandsynligt, at disse angreb bliver udført manuelt. "

Dette ondsindede script hostes på URL'en https: // sslapis [.] Com / assets / si / stat.js, og når den udføres i en administrators browser, oprettes en ny rogue admin-bruger på webstedet.

"Efter at have oprettet et skjult iframe-element på siden, der ses af den berørte administrator, simulerer scriptet processen med at udfylde formularen Ny bruger," sagde WordFence s forskning. "Som en del af denne proces vælger den administratorrollen og sender en klik () begivenhed til indsender knappen for at oprette en ny bruger med admin adgang. "

Når den rogue admin-konto er tilføjet, vil den blive konfigureret med brugernavnet supportuuser og med e-mailen [Email protected] som vist i scriptestykket nedenfor.

Uddrag af script, der opretter ny bruger

Efter at have tilføjet en ny bruger, vil scriptet derefter opregne alle installerede plugins og forsøge at indsprøjte en PHP bagdør i hver enkelt.

Redigering af hvert plugin og indsprøjtning af en bagdør

Den bagdør, der tilføjes, er obfuscated ved hjælp af base64-kodning, men dekoder som følgende PHP-kode, der udnytter funktionen ekstrakt () til at tildele brugeren indlæste data til miljøvariabler, der derefter udføres af die () -funktionen.

Injiceret bagdør

Denne bagdør virker ved at læse de variabler, der er vedhæftet URL'en for et plugin, der er blevet bagdørret og tildele dem som miljøvariabler ved hjælp af ekstrakt () -funktionen. Bagdøren vil derefter udføre funktionen die (), som vil kalde hvad kommandoen blev indsat som variabel cdate med et argument til den funktion af hvad der er tildelt en dato.

På grund af populariteten af ​​AMP til WP-plugin, sværhedsgradenes sværhedsgrad og de igangværende angreb anbefales det stærkt, at alle brugere af dette plugin tjekker og fjerner skurken supportuuser admin konto eller andre ukendte admin konti. De skal derefter opdatere til version 0.9.97.20 eller højere af AMP til WP plugin.

Script muliggør også WooCommerce plugin

Mærkeligt, hvis du har installeret WooCommerce-plugin'et, indeholder XSS-scriptet også en funktion, der forsøger at aktivere det.

Skriptet gør dette ved at oprette forbindelse til WordPress plugins.php-siden, som indeholder en liste over plugins og links til at aktivere dem. Den søger derefter efter WooCommerce-plugin'et og aktiverer det, hvis det registreres.

Aktivér WooCommerce-plugin

WooCommerce er et andet populært WordPress-plugin, der havde nylig offentliggjorte sårbarheder som kunne give brugerne adgang til administrativ adgang.

Da BleepingComputer spurgte WordFence, hvorfor de troede, at scriptet kunne aktivere dette plugin, teoretiserede Veenstra, at det kunne bruges til senere nyttelaster hentet fra C2-serveren.

"Skriptet, der serveres fra C2-serveren, definerer også funktionen 'EnableReplace', hvilket gør inlineændringer til visse WooCommerce-sider, hvis det er tilgængeligt," fortalte Veenstra BleepingComputer. "Det er uklart, hvorfor JavaScript bruges til at starte denne fase af angrebet, da administratorkontoen og PHP-bagdørene vil gøre det muligt for angriberen at foretage direkte ændringer til WooCommerce, de ønsker. Vores antagelse er, at C2-serveren er beregnet til i sidste ende at installere yderligere XSS-nyttelast, lettere ved disse inlineændringer. "

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.