De exploitatie van het beveiligingslek op WordPress Rest API gaat door

Het is bijna twee weken geleden dat het WordPress-beveiligingsteam een ​​niet-geverifieerde kwetsbaarheid met misbruik van bevoegdheden onthulde in een REST API 4.7- en 4.7.1-eindpunt. De kwetsbaarheid werd stilzwijgend gepatcht en de openbaarmaking werd een week uitgesteld om eigenaren van WordPress-sites een voorsprong te geven op Update 4.7.2. Sinds vorige week zijn al honderdduizenden kwetsbare websites weggevaagd en schademeldingen blijven stijgen.

In het weekend namen de aanvallen toe en zagen WordPress-beveiligingsbedrijven meer pogingen geblokkeerd door hun firewalls. Sucuri, een beveiligingsbedrijf dat de kwetsbaarheid op WordPress meldde, volgde de campagne " Gehackt door w4l3XzY3 Vorige week en naar schatting 66.000 gevallen van succesvolle aanslagen. Deze specifieke campagne is nu uitgegroeid tot meer dan 260.000 geïndexeerde pagina's door Google. Het is een van de bijna twee dozijn campagnes die gericht zijn op degradatie en kwetsbaarheid.

« In de afgelopen 24-uren hebben we gezien dat de gemiddelde groei van pagina's wordt aangevallen door deze 44% -campagne, " CEO Mark Maunder van Wordfence zei vrijdag. " Het totale aantal aangevallen pagina's voor al deze campagnes, zoals geïndexeerd door Google, is gewijzigd van 1.496.020 in 1.893.690. Dit betekent een toename van 26% van het totale aantal pagina's dat alleen binnen 24 uur is aangevallen. "

Maunder verwijst naar een Google Trends-grafiek waarvan hij zegt dat deze het succes aantoont van de aanvalscampagnes die de afgelopen week hebben plaatsgevonden. De piek begon op de dag dat WordPress de kwetsbaarheid onthulde.

White Fir Design, een ander bedrijf dat beveiligingsdiensten aanbiedt, betwist echter de bewering van Wordfence dat 1,8 miljoen pagina's zijn gehackt. Het aantal van 2 miljoen pagina's wordt genoemd in rapporten van de BBC, The Enquirer, Ars Technica, CIO.com en andere publicaties. White Fir Design stelt dat de gehackte pagina's die door Google zijn geïndexeerd, geen nauwkeurige weergave zijn.

« Daniel Cid Sucuri is het ook niet helemaal eens met de inschatting van Wordfence van de situatie. Na wat onderzoek te hebben gedaan, schat Sucuri dat er meer dan 50.000 gehackte sites zijn met 20-30 misvormde pagina's.

Sucuri begint ook serieuzere pogingen tot REST API-kwetsbaarheden te zien in de vorm van Remote Code Execution (RCE). Aanvallen op sites met behulp van plug-ins waarmee PHP vanuit berichten en pagina's kan worden uitgevoerd. Zo'n campagne probeert een "include" te injecteren om inhoud van een gecompromitteerde site toe te voegen, en vervolgens een achterdeur te injecteren in "/ wp-content / uploads".

« Misvorming biedt geen economische voordelen, die waarschijnlijk binnenkort zullen stervenZei Cid. " Wat overblijft zijn Command Execute Attempts (RCE), omdat het aanvallers volledige controle over een site geeft - en meerdere manieren biedt om inkomsten te genereren. We beginnen ze op sommige sites geïmplementeerd te zien, en dit zal waarschijnlijk de richting zijn van deze kwetsbaarheid die de komende dagen misbruikt wordt. .

Hackers richten zich op sites die geen versie 4.7.2 hebben. Een blik op de resultaten van Google voor de meest actieve campagnes laat zien dat gecompromitteerde sites blogs, media, overheid, onderwijs, sport, medische en technische websites zijn.

We hebben het je altijd verteld update uw WordPress-blog. Hier is een van de redenen waarom u het moet doen.