Η Mailgun, η υπηρεσία αυτοματοποίησης και παράδοσης email, ήταν μια από τις πολλές εταιρείες που παραβιάστηκαν από την συντονισμένη επίθεση κατά των WordPress ιστοσελίδων.
Οι επιθέσεις, ουσιαστικά, εκμεταλλεύτηκαν μια ευπάθεια cross-site scripting (XSS) σε ένα WordPress plugin που ονομάζεται Yuzo Related Posts.
Η ευπάθεια επέτρεψε στους hackers να εισάγουν κώδικα στους ευάλωτους ιστότοπους, οι οποίοι αργότερα χρησιμοποιήθηκαν για την ανακατεύθυνση των εισερχόμενων επισκεπτών σε ιούς, όπως απάτες τεχνικής υποστήριξης, ενημερώσεις λογισμικού με κακόβουλο λογισμικό ή απλές spam σελίδες που εμφανίζουν διαφημίσεις.
Η Mailgun ήταν απλώς ένα τυχαίο θύμα αυτών των επιθέσεων, αλλά όχι το μόνο. Άλλοι ιδιοκτήτες ιστότοπων ανέφεραν παρόμοια προβλήματα στο φόρουμ υποστήριξης του plugin στο WordPress.org και σε άλλα φόρουμ συζητήσεων, όπως το StackOverflow.
Η σημερινή μαζική εκστρατεία πειρατείας θα μπορούσε να αποφευχθεί εάν ο web developer που βρήκε την ευπάθεια του plugin Yuzo Realted Posts είχε αναφέρει το θέμα σε αρμόδιο αντί να το δημοσιεύσει το proof-of-concept code.
Αυτή η δημοσίευση είχε ως αποτέλεσμα το plugin να καταργηθεί από το επίσημο WordPress Plugins repository την ίδια ημέρα, αποτρέποντας μελλοντικές λήψεις μέχρι να διατεθεί μια ενημερωμένη έκδοση κώδικα. Το κακό όμως της υπόθεσης είναι ότι το plugin δεν αφαιρέθηκε από όλες τις ιστοσελίδες παγκοσμίως, οι οποίες παραμένουν ευάλωτες.
Σύμφωνα με στατιστικά στοιχεία του WordPress.org, το plugin είχε ήδη εγκατασταθεί σε περισσότερους από 60.000 ιστότοπους.
Δεν πρόκειται για ένα τυχαίο περιστατικό!
Σύμφωνα με την εταιρεία Defiant, την εταιρεία πίσω από το WordPress firewall plugin, η ομάδα των πρόσφατων επιθέσεων είναι η ίδια ομάδα που εκμεταλλευόταν δύο zero-days σε δύο άλλα plugins τις προηγούμενες εβδομάδες – δηλαδή στα plugins Easy WP SMTP και Social Warfare.
Τα exploits χρησιμοποιούν κακόβουλο script που φιλοξενείται στο hellofromhony[.]org το οποίο καταλήγει στο 176.123,9 [.] 53. Η ίδια διεύθυνση IP χρησιμοποιήθηκε και στις Social Warfare and Easy WP SMTP καμπάνιες.
Οι ερευνητές ασφάλειας στο Sucuri ήταν εκείνοι που ανακάλυψαν την σύνδεση μεταξύ των δύο εκστρατειών, γεγονός που δηλώνει ότι ίσως έπονται και άλλες επιθέσεις στις WordPress ιστοσελίδες. Επομένως, μεγάλη προσοχή με τα plugins που κατεβάζετε και φροντίστε να ενημερώνετε συχνά τις ιστοσελίδες σας.
