Websites, der kører WordPress og Joomla i fare for ondsindet injektor og omdirigeringsscript
Websteder, der anvender populære Content Management Systems (CMS) som Joomla og WordPress, er underlagt et kodeinjektor- og omdirigeringsscript. Den nye sikkerhedstrussel sender tilsyneladende intetanende besøgende til autentiske, men meget ondsindede websteder. Når den er omdirigeret, forsøger sikkerhedstruslen at sende inficeret kode og software til målcomputeren.
Sikkerhedsanalytikere har afdækket en overraskende sikkerhedstrussel, der er rettet mod Joomla og WordPress, to af de mest populære og udbredte CMS-platforme. Millioner af websteder bruger mindst et af CMS til at oprette, redigere og udgive indhold. Analytikerne advarer nu ejere af Joomla- og WordPress-websteder om et ondsindet omdirigeringsscript, der skubber besøgende til ondsindede websteder. Eugene Wozniak, en sikkerhedsforsker hos Sucuri, detaljerede den ondsindede sikkerhedstrussel, som han havde afsløret på en klients websted.
Den nyligt opdagede .htaccess-injektortrussel forsøger ikke at lamme værten eller den besøgende. I stedet forsøger det påvirkede websted konstant at omdirigere webstrafik til reklamesider. Selvom dette muligvis ikke lyder meget skadeligt, forsøger injektor scriptet også at installere ondsindet software. Den anden del af angrebet, når det kombineres med legitime websteder, kan i alvorlig grad påvirke værts troværdighed.
Joomla såvel som WordPress-websteder bruger meget almindeligt .htaccess-filerne til at foretage konfigurationsændringer på biblioteksniveauet på en webserver. Det er overflødigt at nævne, at dette er en temmelig kritisk komponent på webstedet, fordi filen indeholder kernekonfiguration af værtswebsiden og dens muligheder, som inkluderer webstedsadgang, URL-omdirigeringer, URL-afkortning og adgangskontrol.
Ifølge sikkerhedsanalytikerne misbrugte den ondsindede kode URL-omdirigeringsfunktionen i .htaccess-filen, “Mens de fleste webapplikationer bruger omdirigeringer, bruges disse funktioner også ofte af dårlige aktører til at generere reklamevisninger og sende intetanende webstedsbesøgende på phishing-websteder eller andre ondsindede websider. ”
Hvad der virkelig vedrører er, at det er uklart præcist, hvordan angriberne fik adgang til Joomla og WordPress-webstederne. Mens sikkerheden på disse platforme er ret robust, kan angriberne, når de er inde, ganske let plante den ondsindede kode i det primære måls Index.php-filer. Index.php-filerne er kritiske, da de er ansvarlige for at levere Joomla- og WordPress-websiderne, som f.eks. Indholdsstyling og specielle underliggende instruktioner. I det væsentlige er det det primære sæt instruktioner, der instruerer, hvad de skal levere, og hvordan man leverer det, som webstedet tilbyder.
Efter at have fået adgang kan angriberne plante de modificerede Index.php-filer sikkert. Derefter kunne angribere injicere de ondsindede omdirigeringer i .htaccess-filerne. .Htaccess-injektortruslen kører en kode, der fortsætter med at søge efter .htaccess-filen på webstedet. Efter at have fundet og injiceret det ondsindede omdirigeringsscript, uddyber truslen søgningen og forsøger at lede efter flere filer og mapper, der skal angribes.
Den primære metode til at beskytte mod angrebet er at dumpe brugen af .htaccess-filen helt. Faktisk blev standardunderstøttelse af .htaccess-filer elimineret startende med Apache 2.3.9. Men flere webstedsejere vælger stadig at aktivere det.