⚡ Não perca: notÃcia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um invasor violou arquivos JavaScript confiáveis usados por sites WordPress executando PushEngage, OptinMonster e TrustPulse, transformando esses arquivos em uma forma de invadir os sites.
Quando um administrador do site estava logado enquanto o arquivo era carregado, o código criava uma conta de administrador sob o controle do invasor e instalava um plug-in oculto que abria um caminho de volta. Visitantes comuns não o acionavam.
Qualquer site atingido deve ser tratado como comprometido. Todos os três plug-ins são administrados por uma empresa, a Awesome Motive, que não havia comentado os dois plug-ins maiores até 15 de junho.
A empresa de segurança Sansec divulgou a campanha mais ampla em 13 de junho, encontrando o mesmo código malicioso em JavaScript servido para todos os três plugins.
PushEngage seguiu um dia depois com seu próprio aviso de incidente, confirmando que um invasor havia fornecido cópias adulteradas de seu script e que os sites que os carregavam poderiam ser controlados.
PushEngage, adquirido pela Awesome Motive anos atrás, é até agora o único dos três a emitir orientações; Os usuários do OptinMonster e TrustPulse não ouviram nada oficial.
A janela não era a mesma para cada plugin. Sansec viu o código malicioso no OptinMonster e TrustPulse por apenas cerca de 25 minutos em 12 de junho, primeiro por volta das 22h17 UTC e desapareceu por volta das 22h42. A exposição do PushEngage durou mais tempo: várias horas em 12 de junho, e seu script ainda estava sendo servido por alguns servidores do CDN até 14 de junho.
Portanto, os dois plug-ins com mais sites tiveram a janela menor e o PushEngage a maior.
A Sansec estima que os três plug-ins alcançam mais de 1,2 milhão de sites entre eles, a maior parte do OptinMonster, que sozinho tem mais de um milhão de instalações ativas. O plugin WordPress do PushEngage tem mais de 9.000. Esse número é alcance, não dano: ele conta sites que executam os plug-ins, não sites que foram invadidos.
Como funcionou o ataque
O script envenenado não fez nada em uma visualização normal da página. Ele agiu apenas quando um administrador logado do WordPress o carregou e usou a sessão desse administrador para assumir o controle.
Esse design também é o motivo pelo qual o painel do WordPress não consegue dizer se você foi atingido: o backdoor foi criado para ficar fora das telas de administração, portanto, a única verificação confiável está no próprio servidor.
No caso do PushEngage, os arquivos adulterados eram suas incorporações normais, pushengage-web-sdk.js e pushengage-subscription.js, servidos por clientcdn.pushengage.com, a rede de distribuição de conteúdo que envia o script do PushEngage para os sites dos clientes. OptinMonster e TrustPulse foram atingidos por meio de endpoints separados do Awesome Motive CDN.
A PushEngage afirma que o restante de seus sistemas permaneceu intacto: não encontrou nenhum sinal de que seu aplicativo principal ou os servidores que armazenam os dados dos clientes foram alcançados.
Pela própria conta do PushEngage, uma vez que o script foi executado com um administrador logado, ele:
usou a sessão daquele administrador para agir com permissões totais,
criou uma nova conta de administrador sob o controle do invasor,
instalou um plugin que não aparece no painel e
enviou os novos detalhes de login e informações do site para o tidio[.]cc, um domÃnio falso feito para se parecer com o verdadeiro tidio.com.
Sansec encontrou a mesma sequência em todos os três plugins. O domÃnio tidio[.]cc foi registrado em 28 de abril, semanas antes do ataque, o que aponta para uma operação planejada, e não para um ataque rápido.
O plugin oculto é o verdadeiro prêmio. Ele abre o que é conhecido como web shell, um canal de comando remoto: qualquer pessoa que conheça a URL correta pode executar código no servidor sem fazer login. A partir daÃ, o invasor pode ler ou alterar qualquer arquivo, copiar o banco de dados, plantar mais backdoors, injetar código de skimming de cartão, redirecionar visitantes ou roubar dados.
A conta de administrador extra é uma maneira simples de retornar se você excluir o plug-in, mas perder a conta. E como o invasor pode executar código livremente, remover o plugin e a conta nomeados pode não ser suficiente; tanto a Sansec quanto a PushEngage dizem assumir que outros backdoors poderiam permanecer.
Como o invasor entrou
Esta é a parte em que os dois relatos discordam. PushEngage diz que o invasor invadiu primeiro o servidor que executava seu site de marketing, por meio de uma falha conhecida no UpdraftPlus, um plugin de backup do WordPress. Esse servidor é separado dos sistemas que executam o produto e armazenam os dados do cliente.
O que importava não era o servidor em si, mas uma chave nele: uma chave de API CDN. Com essa chave, o invasor não precisou invadir os principais sistemas do PushEngage. Poderia simplesmente alterar os arquivos que o CDN já estava entregando aos sites dos clientes.
A Sansec não está convencida de que o ponto de entrada esteja resolvido. Ele diz que o sistema violado ainda é desconhecido, sendo os próprios servidores da Awesome Motive o local mais provável, a conta CDN possÃvel e o provedor de CDN, BunnyNet, improvável.
A análise pública da Sansec não examina nem endossa a teoria UpdraftPlus; esse relato vem apenas do PushEngage, sobre seu próprio ambiente. UpdraftPlus tem
Quando um administrador do site estava logado enquanto o arquivo era carregado, o código criava uma conta de administrador sob o controle do invasor e instalava um plug-in oculto que abria um caminho de volta. Visitantes comuns não o acionavam.
Qualquer site atingido deve ser tratado como comprometido. Todos os três plug-ins são administrados por uma empresa, a Awesome Motive, que não havia comentado os dois plug-ins maiores até 15 de junho.
A empresa de segurança Sansec divulgou a campanha mais ampla em 13 de junho, encontrando o mesmo código malicioso em JavaScript servido para todos os três plugins.
PushEngage seguiu um dia depois com seu próprio aviso de incidente, confirmando que um invasor havia fornecido cópias adulteradas de seu script e que os sites que os carregavam poderiam ser controlados.
PushEngage, adquirido pela Awesome Motive anos atrás, é até agora o único dos três a emitir orientações; Os usuários do OptinMonster e TrustPulse não ouviram nada oficial.
A janela não era a mesma para cada plugin. Sansec viu o código malicioso no OptinMonster e TrustPulse por apenas cerca de 25 minutos em 12 de junho, primeiro por volta das 22h17 UTC e desapareceu por volta das 22h42. A exposição do PushEngage durou mais tempo: várias horas em 12 de junho, e seu script ainda estava sendo servido por alguns servidores do CDN até 14 de junho.
Portanto, os dois plug-ins com mais sites tiveram a janela menor e o PushEngage a maior.
A Sansec estima que os três plug-ins alcançam mais de 1,2 milhão de sites entre eles, a maior parte do OptinMonster, que sozinho tem mais de um milhão de instalações ativas. O plugin WordPress do PushEngage tem mais de 9.000. Esse número é alcance, não dano: ele conta sites que executam os plug-ins, não sites que foram invadidos.
Como funcionou o ataque
O script envenenado não fez nada em uma visualização normal da página. Ele agiu apenas quando um administrador logado do WordPress o carregou e usou a sessão desse administrador para assumir o controle.
Esse design também é o motivo pelo qual o painel do WordPress não consegue dizer se você foi atingido: o backdoor foi criado para ficar fora das telas de administração, portanto, a única verificação confiável está no próprio servidor.
No caso do PushEngage, os arquivos adulterados eram suas incorporações normais, pushengage-web-sdk.js e pushengage-subscription.js, servidos por clientcdn.pushengage.com, a rede de distribuição de conteúdo que envia o script do PushEngage para os sites dos clientes. OptinMonster e TrustPulse foram atingidos por meio de endpoints separados do Awesome Motive CDN.
A PushEngage afirma que o restante de seus sistemas permaneceu intacto: não encontrou nenhum sinal de que seu aplicativo principal ou os servidores que armazenam os dados dos clientes foram alcançados.
Pela própria conta do PushEngage, uma vez que o script foi executado com um administrador logado, ele:
usou a sessão daquele administrador para agir com permissões totais,
criou uma nova conta de administrador sob o controle do invasor,
instalou um plugin que não aparece no painel e
enviou os novos detalhes de login e informações do site para o tidio[.]cc, um domÃnio falso feito para se parecer com o verdadeiro tidio.com.
Sansec encontrou a mesma sequência em todos os três plugins. O domÃnio tidio[.]cc foi registrado em 28 de abril, semanas antes do ataque, o que aponta para uma operação planejada, e não para um ataque rápido.
O plugin oculto é o verdadeiro prêmio. Ele abre o que é conhecido como web shell, um canal de comando remoto: qualquer pessoa que conheça a URL correta pode executar código no servidor sem fazer login. A partir daÃ, o invasor pode ler ou alterar qualquer arquivo, copiar o banco de dados, plantar mais backdoors, injetar código de skimming de cartão, redirecionar visitantes ou roubar dados.
A conta de administrador extra é uma maneira simples de retornar se você excluir o plug-in, mas perder a conta. E como o invasor pode executar código livremente, remover o plugin e a conta nomeados pode não ser suficiente; tanto a Sansec quanto a PushEngage dizem assumir que outros backdoors poderiam permanecer.
Como o invasor entrou
Esta é a parte em que os dois relatos discordam. PushEngage diz que o invasor invadiu primeiro o servidor que executava seu site de marketing, por meio de uma falha conhecida no UpdraftPlus, um plugin de backup do WordPress. Esse servidor é separado dos sistemas que executam o produto e armazenam os dados do cliente.
O que importava não era o servidor em si, mas uma chave nele: uma chave de API CDN. Com essa chave, o invasor não precisou invadir os principais sistemas do PushEngage. Poderia simplesmente alterar os arquivos que o CDN já estava entregando aos sites dos clientes.
A Sansec não está convencida de que o ponto de entrada esteja resolvido. Ele diz que o sistema violado ainda é desconhecido, sendo os próprios servidores da Awesome Motive o local mais provável, a conta CDN possÃvel e o provedor de CDN, BunnyNet, improvável.
A análise pública da Sansec não examina nem endossa a teoria UpdraftPlus; esse relato vem apenas do PushEngage, sobre seu próprio ambiente. UpdraftPlus tem
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #scripts #populares #de #plugins #do #wordpress #adulterados #para #plantar #backdoors #ocultos #em #sites
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário