Hackers κατάφεραν με μέθοδο άνευ προηγούμενου να πάρουν τον έλεγχο από websites που χρησιμοποιούν το WordPress CMS εγκαθιστώντας backdoored plugins χάρη στο Jetpack. Η μέθοδος αυτή είναι περίπλοκη, και κατά την εκτέλεση της, ο hacker θα πρέπει να περάσει από διάφορα βήματα, μέσα από τα οποία πολλοί παράγοντες μπορεί να αποτρέψουν την επιτυχία της επίθεσης.
Τέτοιου είδους επιθέσεις συμβαίνουν από τις 16 Μαΐου, σύμφωνα με ανακοίνωση από το WordPress αλλά και από τους ίδιους τους χρήστες της πλατφόρμας που είχαν την ατυχία να χάσουν την πρόσβαση στα ίδια τους τα websites.
Πως γίνεται μια τέτοια επίθεση?
Το πρώτο βήμα που κάνει ο hacker είναι να πάρει συνδυασμούς από usernames και passwords από δημόσιες λίστες από παλαιότερες μαζικές παραβιάσεις. Στη συνέχεια, προσπαθεί να κάνει login σε λογαριασμούς μέσα από το WordPress.com.
Χρήστες που επαναχρησιμοποιούν passwords και δεν έχουν ενεργοποιήσει κάποιου είδους two-factor authentication στους λογαριασμούς τους είναι επιρρεπείς σε αυτού του είδους τις επιθέσεις.
Εγκατάσταση backdoored εφαρμογών μέσω του Jetpack
Το Jetpack είναι ένα από τα πιο δημοφιλή plugins αυτή τη στιγμή και είναι εγκατεστημένο σε πάρα πολλά wordpress sites. Μια από τις πολυάριθμες λειτουργίες του Jetpack είναι η δυνατότητα σύνδεσης των dashboards πολλαπλών self-hosted WordPress ιστοσελίδων με έναν wordpress.com λογαριασμό, με σκοπό την ευκολότερη διαχείριση του περιεχομένου μέσω ενός ενιαίου panel. Το Jetpack προσφέρει επίσης και τη δυνατότητα μαζικής εγκατάστασης νέων πρόσθετων μεταξύ όλων των συνδεδεμένων dashboard. Έτσι, αρκεί η πρόσβαση σε έναν wordpress.com λογαριασμό για να έχει κάποιος πρόσβαση σε όλα τα συνδεδεμένα site.
Ο αριθμός των επιτυχών επιθέσεων δεν είναι γνωστός. Μια τέτοιου είδους επίθεση είναι δύσκολο να αναγνωριστεί, καθώς με την εγκατάσταση πρόσθετων μέσω του Jetpack υπάρχει η δυνατότητα να μένει κρυφό το πρόσθετο και να μην εμφανίζεται στην λίστα με τα εγκατεστημένα plugins. Με αυτόν τον τρόπο οι hackers ανεβάζουν και εγκαθιστούν κακόβουλα plugins και τα αποκρύπτουν από τους διαχειριστές. Στις περισσότερες περιπτώσεις τα κακόβουλα αυτά Plugins κάνουν redirect σε tech support scams.
Στην περίπτωση που εντοπισθεί κάποια περίεργη κίνηση σε κάποιο WordPress site ή εντοπιστεί κάποιο plugin που φαίνεται να εγκαταστάθηκε μόνο του, η WordPress προτείνει άμεση αλλαγή στο password αλλά και ενεργοποίηση κάποιου two-factor authentication.
