Het is bijna twee weken geleden dat het WordPress-beveiligingsteam een ​​niet-geverifieerde kwetsbaarheid met misbruik van bevoegdheden onthulde in een REST API 4.7- en 4.7.1-eindpunt. De kwetsbaarheid werd stilzwijgend gepatcht en de openbaarmaking werd een week uitgesteld om eigenaren van WordPress-sites een voorsprong te geven op Update 4.7.2. Sinds vorige week zijn al honderdduizenden kwetsbare websites weggevaagd en schademeldingen blijven stijgen.

In het weekend namen de aanvallen toe en zagen WordPress-beveiligingsbedrijven meer pogingen geblokkeerd door hun firewalls. Sucuri, een beveiligingsbedrijf dat de kwetsbaarheid op WordPress meldde, volgde de campagne " Gehackt door w4l3XzY3 » vorige week en naar schatting 66.000 gevallen van succesvolle aanvallen. Deze specifieke campagne is nu uitgegroeid tot meer dan 260.000 pagina's, geïndexeerd door Kopen Google Reviews. Het is een van de bijna twintig campagnes die zich richten op degradatie en kwetsbaarheid.

« In de afgelopen 24-uren hebben we gezien dat de gemiddelde groei van pagina's wordt aangevallen door deze 44% -campagne, " CEO Mark Maunder van Wordfence zei vrijdag. " Het totale aantal aangevallen pagina's voor al deze campagnes, zoals geïndexeerd door Kopen Google Reviews steeg van 1.496.020 naar 1.893.690. Dit vertegenwoordigt een toename van 26% in het totale aantal aangevallen pagina's in slechts 24 uur.. "

Maunder verwijst naar een tafel Kopen Google Reviews Trends die volgens hem het succes aantonen van de aanvalscampagnes van de afgelopen week. De piek begon op de dag dat WordPress de kwetsbaarheid onthulde.

Google trends zoeken

White Fir Design, een ander bedrijf dat beveiligingsdiensten aanbiedt, betwist echter de bewering van Wordfence dat 1,8 miljoen pagina's zijn gehackt. Het aantal van 2 miljoen pagina's wordt genoemd in rapporten van de BBC, The Enquirer, Ars Technica, CIO.com en andere publicaties. White Fir Design stelt dat de gehackte pagina's die door Google zijn geïndexeerd, geen nauwkeurige weergave zijn.

« Daniel Cid Sucuri is het ook niet helemaal eens met de inschatting van Wordfence van de situatie. Na wat onderzoek te hebben gedaan, schat Sucuri dat er meer dan 50.000 gehackte sites zijn met 20-30 misvormde pagina's.

Sucuri begint ook serieuzere pogingen te zien om REST API-kwetsbaarheden op te lossen in de vorm van Remote Code Execution (RCE). Aanvallen op sites die plug-ins gebruiken die PHP-uitvoering vanuit artikelen en pagina's mogelijk maken. Zo’n campagne probeert een ‘include’ toe te voegen inhoud vanaf een gecompromitteerde site, injecteer dan een achterdeur in “/wp-content/uploads”.

« Misvorming biedt geen economische voordelen, die waarschijnlijk binnenkort zullen stervenZei Cid. " Wat overblijft zijn Command Execute Attempts (RCE), omdat het aanvallers volledige controle over een site geeft - en meerdere manieren biedt om inkomsten te genereren. We beginnen ze op sommige sites geïmplementeerd te zien, en dit zal waarschijnlijk de richting zijn van deze kwetsbaarheid die de komende dagen misbruikt wordt. .

Hackers richten zich op sites die geen versie 4.7.2 hebben. Een blik op de resultaten van Google voor de meest actieve campagnes laat zien dat gecompromitteerde sites blogs, media, overheid, onderwijs, sport, medische en technische websites zijn.

We hebben het je altijd verteld update uw WordPress-blog. Hier is een van de redenen waarom u het moet doen.