Nový malware pro Linux využívá 30 zranitelností v zastaralých pluginech a šablonách WordPress

  Novinky

Bezpečnostní experti z Doctor Web objevili linuxový malware, označený jako Linux.BackDoor.WordPressExploit.1, který cílí na webové stránky používající redakční systém WordPress. Konkrétně zneužívá 30 zranitelností v zastaralých pluginech a šablonách.

Malware do cílových webových stránek vkládá škodlivý JavaScript. Na napadené stránce jsou pak uživatelé přesměrováni na jiné stránky, která už je pod kontrolou útočníků.

Malware se zaměřuje na 32bitové i 64bitové verze systému Linux, podporuje funkci backdoor a umožňuje napadnout zadanou webovou stránku (provést DoS útok), přepnout se do pohotovostního režimu, vypnout se a pozastavit logování akcí.

Před útokem na webovou stránku se malware spojí se C&C serverem a získá adresu webu, který má infikovat. Poté se Linux.BackDoor.WordPressExploit.1 pokusí zneužít zranitelnosti následujícíchpluginech a šablonách, pokud jsou na cílových webových stránkách nainstalovány:

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control (CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (CVE-2019-17232 a CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid
  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

Pokud je úspěšně zneužita jedna nebo více zranitelností, je do cílové stránky vložen škodlivý JavaScript, který je stažen ze vzdáleného serveru. Injekce je přitom provedena tak, že při načtení infikované stránky se tento JavaScript spustí jako první – bez ohledu na původní obsah stránky. Jakýkoliv příchozí uživatel bude přesměrován na stránku útočníka.

Bezpečnostní experti si všimli, že obě varianty trojského koně obsahují neimplementovanou funkci pro pro útoky na WordPress hrubou silou s použitím speciálních slovníků.

Doporučením je jako obvykle mít vše aktualizované a používat dostatečně silná hesla případně bezpečnostní opatření, které automatické zadávání hesel zabraňují (omezený počet pokusů atd.).

Napiš komentář