Webbplatser som kör WordPress och Joomla i riskzonen för skadlig injektor och omdirigeringsskript
Webbplatser som använder populära Content Management Systems (CMS) som Joomla och WordPress är föremål för ett kodinjektor- och omdirigeringsskript. Det nya säkerhetshotet skickar uppenbarligen intet ont anande besökare till autentiska snygga men mycket skadliga webbplatser. När den väl har omdirigerats försöker säkerhetshotet sedan att skicka infekterad kod och programvara till måldatorn.
Säkerhetsanalytiker har upptäckt ett överraskande säkerhetshot som riktar sig till Joomla och WordPress, två av de mest populära och mest använda CMS-plattformarna. Miljontals webbplatser använder minst en av CMS för att skapa, redigera och publicera innehåll. Analytikerna varnar nu ägare av Joomla och WordPress-webbplatser för ett skadligt omdirigeringsskript som driver besökare till skadliga webbplatser. Eugene Wozniak, en säkerhetsforskare med Sucuri, redogjorde för det skadliga säkerhetshotet som han hade upptäckt på en kunds webbplats.
Det nyligen upptäckta hotet om .htaccess-injektorn försöker inte förstöra värden eller besökaren. I stället försöker den drabbade webbplatsen ständigt omdirigera webbplatstrafik till reklamwebbplatser. Även om detta kanske inte låter mycket skadligt, försöker injektorskriptet också att installera skadlig programvara. Den andra delen av attacken, när den kombineras med legitima webbplatser, kan påverka värdens trovärdighet.
Joomla, liksom WordPress-webbplatser, använder ofta .htaccess-filerna för att göra konfigurationsändringar på katalognivån på en webbserver. Det behöver inte nämnas att detta är en ganska kritisk del av webbplatsen eftersom filen innehåller kärnkonfiguration av värdwebbsidan och dess alternativ som inkluderar webbplatsåtkomst, URL-omdirigeringar, URL-förkortning och åtkomstkontroll.
Enligt säkerhetsanalytikerna missbrukade den skadliga koden URL-omdirigeringsfunktionen för .htaccess-filen. ”Medan majoriteten av webbapplikationer använder omdirigeringar används de här funktionerna ofta av dåliga aktörer för att generera reklamintryck och för att skicka intet ont anande besökare på nätfiskewebbplatser eller andra skadliga webbsidor. ”
Det som verkligen berör är att det är oklart exakt hur angriparna fick tillgång till Joomla- och WordPress-webbplatserna. Medan säkerheten på dessa plattformar är ganska robust, kan de angripare, när de väl är inne, ganska enkelt plantera den skadliga koden i det primära målets Index.php-filer. Index.php-filerna är kritiska eftersom de är ansvariga för att leverera Joomla- och WordPress-webbsidorna, som innehållsstyling och speciella underliggande instruktioner. I huvudsak är det den primära uppsättningen instruktioner som instruerar vad man ska leverera och hur man ska leverera vad webbplatsen erbjuder.
Efter att ha fått åtkomst kan angriparna säkert plantera de modifierade Index.php-filerna. Därefter kunde angripare injicera de skadliga omdirigeringarna i .htaccess-filerna. Hotet för .htaccess-injektorn kör en kod som fortsätter att söka efter .htaccess-filen på webbplatsen. Efter att ha hittat och injicerat det skadliga omdirigeringsskriptet fördjupar hotet sökningen och försöker leta efter fler filer och mappar att attackera.
Den primära metoden för att skydda mot attacken är att dumpa användningen av .htaccess-filen helt. Faktum är att standardstöd för .htaccess-filer eliminerades från och med Apache 2.3.9. Men flera webbplatsägare väljer fortfarande att aktivera det.