wollte das mit Euch teilen - einen Artikel über eine Backdoor-Sicherheitslücke - ein XSS-Report den ich soeben gelesen habe:
und - seit 29.04 ist die WP Version 5.4.1 erhältlich - bitte unbed. gleich hochziehen auf die neueste Version
plz update WP to the allready available Version 5.4.1 -
https://www.bleepingcomputer.com/news/s ... in-a-week/
Hackers have launched a massive attack against more than 900,000 WordPress sites seeking to redirect visitors to malvertising sites or plant a backdoor if an administrator is logged in.
Based on the payload, the attacks seem to be the work of a single threat actor, who used at least 24,000 IP addresses over the past month to send malicious requests to more than 900,000 sites.
XSS, malvertising, backdoor
Compromise attempts increased after April 28. WordPress security company Defiant, makers of Wordfence security plugin, detected on May 3 over 20 million attacks against more than half a million websites.
Ram Gall, senior QA at Defiant, said that the attackers focused mostly on exploiting cross-site scripting (XSS) vulnerabilities in plugins that received a fix months or years ago and had been targeted in other attacks.
Redirecting visitors to malvertising is one effect of a successful compromise. If the JavaScript is executed by the browser of an administrator that is logged in, the code tries to inject a PHP backdoor in the theme’s header file along with another JavaScript. The backdoor then gets another payload and stores it in the theme’s header in an attempt to execute it. “This method would allow the attacker to maintain control of the site” Gall explains.
This way, the attacker could switch to a different payload that could be a webshell, code that creates a malicious admin or for deleting the content of the entire site. In the report today, Defiant included indicators of compromise for the final payload.
Old vulnerabilities targeted
Multiple vulnerabilities have been detected but the following are the most targeted, Gall says. Note that the vulnerable plugins have either been removed from official repositories or received a patch last year or before.
An XSS vulnerability in the Easy2Map plugin, which was removed from the WordPress plugin repository in August of 2019, and which we estimate is likely installed on less than 3,000 sites. This accounted for more than half of all of the attacks.
vgl mehr https://www.bleepingcomputer.com/news/s ... in-a-week/
vgl.: https://www.heise.de/ix/meldung/Hacker- ... 15840.html
womöglich seid ihr darüber schon informiert - ich dachte ich leit es dennoch weiter - ist vom 6.5. 20
Hacker unternahmen Großangriff auf 900.000 WordPress-Seiten
Eine groß angelegte Hacking-Kampagne verursachte einen Anstieg in einer Angriffsstatistik um das 30-fache des normalen Volumens
In den vergangenen sieben Tagen hat eine Hackergruppe versucht, fast eine Million WordPress-Seiten zu entführen. Das schildert das Sicherheitsunternehmen Wordfence. Das Threat Intelligence Team von Wordfence hatte einen plötzlichen Anstieg von Angriffen auf Cross-Site-Scripting(XSS)-Schwachstellen registriert, der am 28. April begann und innerhalb weniger Tage auf das 30-fache des üblichen Volumens an Angriffsdaten anwuchs.
Hinter den meisten dieser Angriffe verbarg sich offenbar ein einziger Bedrohungsakteur, schreibt Wordfence. Diese Hackergruppe startete ihre Angriffe von 24.000 IP-Adressen aus und versuchte, in mehr als 900.000 WordPress-Seiten einzubrechen. Den Höhepunkt erreichte die Kampagne am 3. Mai, als die Gruppe 20 Millionen Versuche unternahm, bei mehr als einer halben Million einzelner Sites Schwachstellen auszunutzen.
Automatisch erstellte Hintertüren
In erster Linie versuchten die Hacker bösartigen JavaScript-Code über XSS-Schwachstellen auf den angegriffenen Seiten zu platzieren, um Besucher der Seite dann auf manipulierte Webseiten umzuleiten. Darüber hinaus scannte der bösartige Code nach Administratorlogins, um dann automatisiert Backdoor-Konten zu erstellen.
Wordfence mutmaßt, dass die Hacker zukünftig auf andere Schwachstellen ausweichen könnten und nennt die Indicators of Compromise (IoCs), anhand derer Webseitenbetreiber feststellen können, ob ihre Seite kompromittiert wurde. Dazu gehören beispielsweise spezielle Zeichenfolgen, die in der Nutzlast vorhanden sind, oder auch Zeitstempel, die angeben, wann die Seite das letzte Mal auf eine erneute Infektion geprüft wurde, und die in einer Datei mit falscher Schreibweise namens "debugs.log" gespeichert sind.
Der "Klassiker": Bekannte Schwachstellen als Einfallstor
Die Mehrheit der beobachteten Angriffe zielt auf Schwachstellen, die seit Monaten und Jahren bekannt sind und gepatcht wurden. Daher ist die beste Prävention – eine Binsenweisheit in der IT-Sicherheit –, alle Plug-ins auf dem neuesten Stand zu halten und sämtliche Plug-ins, die aus dem WordPress-Plugin-Repository entfernt wurden, zu deaktivieren und zu löschen. (ur)
vgl. https://www.heise.de/ix/meldung/Hacker- ... 15840.html
Danke nochmals an Altrea fürs Aufmerksam machen!
