Σύμφωνα με ερευνητές, υπάρχει μια ευπάθεια στο πρόσθετο Rich Reviews για WordPress sites. Απ’ ότι φαίνεται, οι hackers εκμεταλλεύονται την ευπάθεια και πραγματοποιούν malvertising εκστρατείες σε sites που χρησιμοποιούν το Rich Reviews.
Το πρόσθετο αφαιρέθηκε από το WordPress repository πριν από περίπου έξι μήνες για λόγους ασφαλείας. Ωστόσο, ο κίνδυνος παραμένει καθώς ένας πολύ μεγάλος αριθμός sites (16,000) το χρησιμοποιούν ακόμα.
XSS payload
Η ευπάθεια επιτρέπει να γίνονται ενημερώσεις και διάφορες αλλαγές, χωρίς να περνούν από έλεγχο. Οι hackers εκμεταλλεύονται αυτή την ευπάθεια για να παραδώσουν cross-site scripting (XSS) payloads. Το JavaScript ενεργοποιείται τόσο από τους επισκέπτες του site όσο και από τους διαχειριστές του.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Σύμφωνα με τους ερευνητές της Defiant, η malvertising εκστρατεία παραδίδει σχεδόν το ίδιο XSS payload, που είχε εμφανιστεί σε αντίστοιχες επιθέσεις τον Απρίλιο. Η ερευνητική ομάδα της εταιρείας δημοσίευσε τουλάχιστον τρεις εκθέσεις φέτος.
Οι hackers προσπαθούν να ανακατευθύνουν τους χρήστες σε κακόβουλα και επικίνδυνα sites. Για παράδειγμα, οι χρήστες μπορεί να νομίζουν ότι επισκέπτονται σελίδες τεχνικής υποστήριξης, ενώ στην πραγματικότητα είναι απάτη. Μπορεί ακόμα να οδηγούνται σε κακόβουλα πακέτα Android ή sites με κακόβουλο περιεχόμενο. Οι ερευνητές παρατήρησαν, επίσης, ότι πέρα από την ανακατεύθυνση, εμφανίζονται pop-ups που προωθούν περίεργα φαρμακευτικά προϊόντα.
Οι ερευνητές έχουν βρει τρεις διευθύνσεις IP, που πιστεύουν ότι σχετίζονται με αυτήν την εκστρατεία:
- 229.170.38
- 90.250.26
- 27.116.3
Επιπλέον, το payload εκτελεί ένα script, που ονομάζεται ‘place.js’. Το script φιλοξενείται στο domain adsnet[.]work.
Οι ειδικοί ασφαλείας συμβουλεύουν τους διαχειριστές των sites να αφαιρέσουν το Rich Reviews από το site τους και να το αντικαταστήσουν με κάποιο άλλο παρόμοιο πρόσθετο, ώστε να αποφύγουν τον κίνδυνο.
Οι δημιουργοί του πρόσθετου έχουν ενημερωθεί για την ευπάθεια και προσπαθούν να τη διορθώσουν. Την προηγούμενη εβδομάδα, η ιδιοκτήτρια τριών sites παραπονέθηκε ότι τα sites της μολύνθηκαν από ένα κακόβουλο script, που απ’ ότι φαίνεται είναι μέρος της συγκεκριμένης malvertising εκστρατείας.
Οι δημιουργοί του πρόσθετου δήλωσαν ότι η διόρθωση θα είναι διαθέσιμη μέσα στις επόμενες δύο εβδομάδες. Ωστόσο, τα sites που έχουν την ευάλωτη έκδοση, πρέπει να την αφαιρέσουν, διότι κινδυνεύουν να γίνουν στόχος των hackers.