광범위한 공격을 목표로하는 거의 백만 개의 WordPress 사이트

광범위한 공격을 목표로하는 거의 백만 개의 WordPress 사이트
위협 행위자는 백도어를 삽입하고 WordPress 기반 사이트에 침입하여 방문자를 악성 광고로 리디렉션하려고합니다.

“우리의 기록에 따르면이 위협 행위자가 과거에 더 적은 양의 공격을 보냈을 수도 있지만, 지난 며칠 동안 실제로 2 천만 건 이상의 공격이 시도 된 시점까지 실제로 증가했습니다. 2020 년 5 월 3 일에 50 만 개가 넘는 개별 사이트를 구축했습니다.”

"지난 한 달 동안 총 24,000 개가 넘는 고유 한 IP 주소가 이러한 공격과 일치하는 요청을 900,000 개 이상의 사이트로 보내는 것을 감지했습니다."

공격에 대하여
이 그룹은 이전 XSS (Cross-Site Scripting)에 대한 명백한 선입견을 갖고 있으며 Easy2Map, 블로그 디자이너, WP GDPR 준수, 총 기부금 및 신문 테마와 같은 덜 대중적인 WordPress 플러그인 및 테마에서 취약점을 업데이트하는 옵션이 있습니다.

이러한 취약점의 대부분은 수개월 전에 패치되어 과거에 타깃으로 알려진 것으로 알려져 있습니다. 대상 플러그인 중 일부는 WordPress의 공식 플러그인을 포함하여 온라인 플러그인 저장소에서도 제거되었습니다.

분석가들은 같은 액터가 공격하려는 페이로드 (악의적 인 JavaScript)가 동일하기 때문에 이러한 공격의 대부분을 담당하고 있다고 생각합니다.

“피해자가 로그인하지 않았고 로그인 페이지에 있지 않으면 악성 광고 URL로 리디렉션합니다. 피해자가 사이트에 로그인 한 경우이 스크립트는 다른 악성 JavaScript와 함께 현재 테마의 헤더 파일에 악성 PHP 백도어를 삽입하려고 시도합니다.”

그들은 위협 행위자가 다른 플러그인과 테마에서 유사한 취약점을 이용할 것으로 기대합니다.

무엇을해야합니까?
“대부분의 공격은 몇 달 또는 몇 년 전에 패치 된 취약점과 많은 사용자가없는 플러그인을 대상으로합니다. 현재 사용 가능한 모든 플러그인의 최신 버전에 효과적인 공격은 발견되지 않았지만 웹 응용 프로그램 방화벽을 실행하면 아직 패치되지 않았을 수있는 모든 취약점으로부터 사이트를 보호 할 수 있습니다.”라고 Wordfence 분석가는 지적했습니다.

K2 Cyber ​​Security의 Timothy Chiu는 WAF와 같은 경계 보안 도구가 응용 프로그램을 보호하는 데 효과적이기 위해서는 많은 조정이 필요하며 회사는 일반적으로 적절한 작업을 수행하는 데 필요한 보안 리소스를 가지고 있지 않다고 말합니다 .

문제가있는 조직과 사이트를 두 개만 운영하는 개인의 경우 공격 노출을 최소화하기 위해 가장 쉬운 방법은 플러그인과 테마를 최신 상태로 유지하고 더 이상 필요하지 않은 플러그인과 플러그인을 삭제하는 것입니다. WordPress 플러그인 저장소에서 제거되었습니다.

Wordfence는 사이트 관리자가 적중 여부를 확인하는 데 사용할 수 있는 손상 지표를 제공했습니다 .