Nettsteder som kjører WordPress og Joomla i fare for skadelig injektor og omdirigeringsskript
Nettsteder som bruker populære Content Management Systems (CMS) som Joomla og WordPress, er underlagt et kodeinjektor- og omdirigeringsskript. Den nye sikkerhetstrusselen sender tilsynelatende intetanende besøkende til autentiske, men svært ondsinnede nettsteder. Når den har blitt omdirigert, prøver sikkerhetstrusselen å sende infisert kode og programvare til måldatamaskinen.
Sikkerhetsanalytikere har avdekket en overraskende sikkerhetstrussel som retter seg mot Joomla og WordPress, to av de mest populære og mest brukte CMS-plattformene. Millioner av nettsteder bruker minst ett av CMS for å opprette, redigere og publisere innhold. Analytikerne advarer nå eiere av Joomla og WordPress-nettsteder om et ondsinnet omdirigeringsskript som presser besøkende til ondsinnede nettsteder. Eugene Wozniak, en sikkerhetsforsker med Sucuri, redegjorde for den ondsinnede sikkerhetstrusselen han hadde avdekket på en klients nettsted.
Den nylig oppdagede .htaccess-injektortrusselen prøver ikke å lamme verten eller den besøkende. I stedet prøver det berørte nettstedet stadig å omdirigere trafikk til nettstedene. Selv om dette ikke høres veldig skadelig ut, prøver injektorskriptet også å installere skadelig programvare. Den andre delen av angrepet, i kombinasjon med legitime nettsteder, kan påvirke vertens troverdighet.
Joomla, så vel som WordPress-nettsteder, bruker ofte .htaccess-filene for å gjøre konfigurasjonsendringer på katalognivået til en webserver. Det er unødvendig å nevne at dette er en ganske kritisk komponent på nettstedet fordi filen inneholder kjernekonfigurasjon av vertssiden og dens alternativer som inkluderer nettstedsadgang, URL-omdirigeringer, URL-forkortelse og tilgangskontroll.
I følge sikkerhetsanalytikerne misbrukte den ondsinnede koden URL-omdirigeringsfunksjonen til .htaccess-filen, “Mens de fleste nettapplikasjoner bruker omdirigeringer, brukes disse funksjonene ofte av dårlige aktører for å generere reklamevisninger, og for å sende intetanende besøkende til phishing-sider eller andre ondsinnede nettsider. ”
Det som virkelig gjelder, er at det er uklart nøyaktig hvordan angriperne fikk tilgang til Joomla og WordPress nettsteder. Selv om sikkerheten til disse plattformene er ganske robust, kan angriperne ganske enkelt plante den ondsinnede koden i det primære målets Index.php-filer. Index.php-filene er kritiske, siden de er ansvarlige for å levere Joomla- og WordPress-nettsidene, som innholdsstyling og spesielle underliggende instruksjoner. I hovedsak er det det primære settet med instruksjoner som instruerer hva du skal levere og hvordan du skal levere det som nettstedet tilbyr.
Etter å ha fått tilgang kan angriperne plante de modifiserte Index.php-filene sikkert. Deretter klarte angriperne å injisere ondsinnede viderekoblinger i .htaccess-filene. .Htaccess-injektortrusselen kjører en kode som fortsetter å lete etter .htaccess-filen på nettstedet. Etter å ha funnet og injisert det ondsinnede omdirigeringsskriptet, utdyper trusselen søket og prøver å lete etter flere filer og mapper å angripe.
Den primære metoden for å beskytte mot angrepet er å dumpe bruken av .htaccess-filen helt. Faktisk ble standardstøtte for .htaccess-filer eliminert fra og med Apache 2.3.9. Men flere nettstedeiere velger fortsatt å aktivere det.