Websites met WordPress en Joomla die het risico lopen op een kwaadaardige injector en redirector-script
Websites die populaire Content Management Systemen (CMS) gebruiken, zoals Joomla en WordPress, zijn onderworpen aan een code-injector en redirector-script. De nieuwe beveiligingsdreiging stuurt schijnbaar nietsvermoedende bezoekers naar authentiek ogende maar zeer kwaadaardige websites. Nadat het met succes is omgeleid, probeert de beveiligingsbedreiging vervolgens geïnfecteerde code en software naar de doelcomputer te sturen.
Beveiligingsanalisten hebben een verrassende beveiligingsdreiging ontdekt die gericht is op Joomla en WordPress, twee van de meest populaire en meest gebruikte CMS-platforms. Miljoenen websites gebruiken ten minste één van de CMS om inhoud te creëren, bewerken en publiceren. De analisten waarschuwen eigenaren van Joomla- en WordPress-websites nu voor een kwaadaardig omleidingsscript dat bezoekers naar kwaadaardige websites duwt. Eugene Wozniak, een beveiligingsonderzoeker bij Sucuri, beschreef de kwaadaardige beveiligingsdreiging die hij had ontdekt op de website van een klant.
De nieuw ontdekte .htaccess-injectorbedreiging probeert de host of de bezoeker niet te verlammen. In plaats daarvan probeert de getroffen website voortdurend websiteverkeer om te leiden naar advertentiesites. Hoewel dit misschien niet erg schadelijk klinkt, probeert het injectorscript ook schadelijke software te installeren. Het tweede deel van de aanval, in combinatie met legitiem ogende websites, kan de geloofwaardigheid van de host ernstig aantasten.
Joomla, evenals WordPress-websites, gebruiken heel vaak de .htaccess-bestanden om configuratiewijzigingen door te voeren op directoryniveau van een webserver. Onnodig te vermelden dat dit een nogal kritiek onderdeel van de website is, omdat het bestand de kernconfiguratie van de hostwebpagina bevat en zijn opties, waaronder websitetoegang, URL-omleidingen, URL-verkorting en toegangscontrole.
Volgens de beveiligingsanalisten maakte de kwaadaardige code misbruik van de URL-omleidingsfunctie van het .htaccess-bestand. nietsvermoedende sitebezoekers naar phishingsites of andere kwaadaardige webpagina's.”
Wat echt zorgwekkend is, is dat het onduidelijk is hoe de aanvallers precies toegang hebben gekregen tot de Joomla- en WordPress-websites. Hoewel de beveiliging van deze platforms behoorlijk robuust is, kunnen de aanvallers, eenmaal binnen, de kwaadaardige code vrij gemakkelijk in de Index.php-bestanden van het primaire doelwit plaatsen. De Index.php-bestanden zijn van cruciaal belang omdat ze verantwoordelijk zijn voor het leveren van de Joomla- en WordPress-webpagina's, zoals de inhoudstyling en speciale onderliggende instructies. In wezen is het de primaire set instructies die instrueert wat te leveren en hoe te leveren wat de website ook aanbiedt.
Nadat ze toegang hebben gekregen, kunnen de aanvallers de gewijzigde Index.php-bestanden veilig planten. Daarna konden aanvallers de kwaadaardige omleidingen in de .htaccess-bestanden injecteren. De .htaccess-injectordreiging voert een code uit die blijft zoeken naar het .htaccess-bestand van de website. Na het lokaliseren en injecteren van het kwaadaardige omleidingsscript, verdiept de dreiging de zoektocht en probeert hij te zoeken naar meer bestanden en mappen om aan te vallen.
De primaire methode om u tegen de aanval te beschermen, is door het gebruik van het .htaccess-bestand helemaal te dumpen. In feite is de standaardondersteuning voor .htaccess-bestanden verwijderd vanaf Apache 2.3.9. Maar verschillende website-eigenaren kiezen er nog steeds voor om het in te schakelen.
