• 主頁
  • 文章
  • 指導
  • 新的 Linux 惡意軟件利用 WP 站點中的 20 多個 CMS 漏洞

新的 Linux 惡意軟件利用 WP 站點中的 20 多個 CMS 漏洞

已發表: 2023-02-06

新的 Linux 惡意軟件已經出現,它利用了在 Linux 平台上運行的 WordPress 主題和網站插件中的安全漏洞。 該惡意軟件執行 Javascript 以網站的源代碼為目標,可以幫助網絡犯罪分子發起 DDoS 攻擊、訪問敏感數據以及將用戶重定向到惡意網站。

本文將全面概述這種新的 Linux 惡意軟件,討論它的工作原理、可被利用的 CMS 漏洞,以及可以採取哪些措施來防止此類攻擊。

什麼是 Linux 惡意軟件攻擊?

當今的許多雲環境都基於 Linux 操作系統。 因此,直接針對使用 Linux 的 Web 主機的網絡攻擊正在增加。 通過成功滲透 Linux 環境,網絡罪犯可以訪問一系列敏感數據、執行惡意軟件,並可能對 IT 基礎設施造成長期破壞。

發現新的 Linux 惡意軟件
Linux 惡意軟件警告

自 2020 年以來,木馬病毒和勒索軟件一直是基於 Linux 的惡意軟件攻擊的最常見形式。

漏洞,例如最新的 WordPress CMS 漏洞,已經危及網絡。 其他漏洞包括網絡上缺乏身份驗證或服務器配置錯誤。 不幸的是,此類攻擊近年來相當成功,並且變得越來越複雜和多樣化,給網絡安全團隊帶來了麻煩。

Linux 惡意軟件攻擊的類型

威脅行為者可以通過多種不同方式執行惡意軟件攻擊。 以下是一些最常見的類型。

以 VM 映像為目標的惡意軟件

惡意軟件不斷改進,尋找新的漏洞,熟練的網絡犯罪分子以令人印象深刻的深思熟慮的攻擊為目標。 其中一種攻擊涉及針對用於處理工作負載的虛擬機 (VM) 映像。

通過這樣做,威脅行為者可以獲得對雲上託管的寶貴資源的訪問權限,從而造成破壞。

加密劫持

Cryptojacking 對於網絡罪犯來說可能非常有利可圖,利用受害者的 IT 資源生成加密貨幣。 甚至像特斯拉這樣的全球公司也曾是此類攻擊的受害者。

Cryptojacking 惡意軟件利用缺乏高級安全性的系統,允許黑客以受害者為代價劫持系統和挖掘加密貨幣。

無文件 Linux 攻擊

使用開源、Golang 編寫的 Ezuri 工具,黑客可以加密惡意軟件,在被破壞的網絡上對其進行解密,並且不會在系統磁盤上留下任何痕跡。 這允許惡意軟​​件繞過防病毒軟件。

網絡犯罪組織 TeamTNT 通常使用這種技術。 對於大型組織,這可能會產生極端后果,違反合規性規定。 防範此類攻擊對確保 PCI 合規性和遵守其他監管準則大有幫助。

PCI合規性解釋
解釋 PCI 合規性

國家支持的惡意軟件

民族國家團體正在增加對 Linux 環境的攻擊,這在俄烏戰爭中尤為明顯。 這些惡意軟件攻擊的主要目標是中斷通信和破壞數據。

WP 網站如何成為新的 Linux 惡意軟件的目標

網絡安全專家以前不知道的一種新的 Linux 惡意軟件變種一直以 WordPress 網站為目標,或者更準確地說,以 20 多個插件和主題為目標。

俄羅斯安全供應商 Doctor Web 分析了這一新威脅,強調了潛在的漏洞。 Doctor Web 的一位代表在最近的一份報告中表示,“如果網站使用此類附加組件的過時版本,缺乏關鍵修復,目標網頁就會被注入惡意 JavaScript。 結果,當用戶點擊受攻擊頁面的任何區域時,他們將被重定向到其他站點。”

這些攻擊針對具有易受攻擊的插件和主題的特定網站來部署惡意軟件。 這有助於創建網絡犯罪分子可以遠程訪問的網站網絡(殭屍網絡),從而使他們能夠進行各種活動。 JavaScript 也可以注入到遠程服務器檢索的系統中,重定向訪問被破壞網站的用戶並將他們發送到惡意網站。

除了針對 20 多個 WordPress CMS 漏洞外,該攻擊的另一個後門版本還涉及一個以前未知的命令和控制 (C2) 域。

在任何一種情況下,攻擊者都會使用暴力方法來滲透 WordPress 管理員帳戶。 Doctor Web 補充說:“如果在較新版本的後門程序中實施這樣的選項,網絡犯罪分子甚至能夠成功攻擊一些使用當前插件版本並修補漏洞的網站。”

已被利用的 20 多個 CMS 漏洞

Linux 惡意軟件利用的易受攻擊的主題和插件列表包括:

  • 博客設計器(< 1.8.12)
  • 輕快的
  • 即將推出和維護模式 (<= 5.1.0)
  • 德魯克斯SEO
  • 簡易 WP SMTP (1.3.9)
  • FV Flowplayer 視頻播放器
  • 雜交種
  • 通過 Zotabox 與 Messenger 客戶聊天進行實時聊天(< 1.4.9)
  • ND 簡碼 (<= 5.8)
  • 報紙 (CVE-2016-10972, 6.4 – 6.7.1)
  • 單音
  • OpinionStage 的投票、調查、表格和測驗製作工具
  • 發布自定義模板精簡版(< 1.7)
  • 豐富的評論
  • 簡單字段
  • Smart Google Code Inserter(2022 年 1 月 28 日停產,< 3.5)
  • 社交指標追踪器
  • 蒂姆核心
  • 總捐款 (<= 2.0.5)
  • WooCommerce
  • WordPress Ultimate 常見問題解答(CVE-2019-17232 和 CVE-2019-17233,1.24.2)
  • WPeMatico RSS 提要獲取器,以及
  • WP GDPR 合規性 (1.4.2)
  • WP 在線聊天 (8.0.27)
  • WP 實時聊天支持
  • WP-Matomo 集成 (WP-Piwik)
  • WP 快速預訂管理器
  • 黃色鉛筆視覺 CSS 樣式編輯器(< 7.2.0)
  • Yuzo 相關帖子 (5.12.89)

以前的 WordPress 惡意軟件攻擊

威脅情報和研究機構 Fortinet FortiGuard Labs 揭示了另一個名為 GoTrim 的殭屍網絡(一組被破壞的聯網設備)。 該網絡是在使用 WordPress CMS 的自託管網站上使用暴力技術創建的,使他們能夠完全控制系統。

到 2022 年底,GoDaddy 旗下的網站安全和保護平台 Sucuri 發現了超過 15,000 個遭到破壞的 WordPress 網站。這是整個惡意軟件活動的一部分,旨在將網站訪問者重定向到由網絡犯罪分子控制的問答門戶。 截至 2023 年 1 月,這些網站中仍有 9,000 多個被感染。

在 2022 年夏天,Sucuri 還發布了一份報告,詳細介紹了一種名為“Parrot”的流量導向系統 (TDS),該系統針對使用基於 JavaScript 的惡意軟件的 WordPress 網站。

如何防止 Linux 惡意軟件攻擊

為防止此類攻擊,建議所有 WordPress 用戶更新其網站的所有組件,包括任何第三方插件和主題。 作為最佳實踐,用戶還應該為每個用戶使用強密碼和唯一的登錄詳細信息,以提高安全性。

網站所有者還應定期備份其數據,以減少成為勒索軟件攻擊受害者的機會,同時還建議安裝定期更新的高級安全插件。

包起來

這種新發現的攻擊針對 Linux 環境中託管的 20 多個 WordPress 插件和主題,允許網絡犯罪分子執行惡意軟件。 其中許多攻擊涉及將網站訪問者重定向到虛假網站,而其他攻擊則幫助黑客開發可用於一系列犯罪的殭屍網絡。

WordPress 用戶可以通過更新所有插件和主題並使用強登錄憑據來防止此類攻擊。 大多數成為惡意軟件攻擊受害者的網站維護不善,安裝的安全性極低,並使用弱密碼。