近年来使用WordPress架设而成的网站很多,此内容管理平台丰富的插件程序,也成为黑客锁定的目标,但大多数事故是利用插件程序的安全漏洞来攻击网站,如今有一起事故引起安全企业注意,因为黑客攻击开发插件程序的软件公司得逞,从而在插件程序植入恶意软件。
例如,由软件企业RocketGenius打造的表单插件程序Gravity Forms,上周就出现这类安全事故。事件的披露的过程,是有人在7月10日从官方域名gravityforms.com下载此插件程序,却发现里面的gravityforms/common.php文件有问题,会向gravityapi.org域名发出恶意HTTP请求,通报此事的人士之所以发现异状,是因为他们通过监控系统看到速度极为缓慢的请求。他们通报RocketGenius并未及时得到回应,于是找来了安全企业Patchstack寻求协助,才使得这起供应链攻击事故曝光。
对此,RocketGenius也在7月11日发布公告证实此事,并表示用户若是在7月9日至10日期间,通过他们的Gravity Forms账号手动下载2.9.11.1或2.9.12版插件程序,就有可能下载到有问题的文件。该公司也说明他们的应对措施。
例如:火速提供Gravity Forms 2.9.13版下载,提供下载此组件服务的全部密钥和凭证也都更新,同时,RocketGenius通报已知主机的域名滥用与恶意主机安全团队,并与CVE弱点通报组织沟通,协助事件的公布,此外,他们通知域名注册商和网站主机,针对恶意软件所使用的IP地址和相关域名URL采取行动,并且提供用户检测网站的方法,着手清查有那些用户受害并协助处理。
接获通报的Patchstack解析有问题的common.php文件,发现其中的特定功能会向。乍看之下,上述域名看起来不像是刻意拼写错误的恶意域名,但不寻常的是,这个域名刚在7月8日注册,显然不是常态性的域名名称。
究竟此文件发出的HTTP请求又有那些不寻常之处?此请求会回传网站的系统资讯,包含网站的URL、WordPress版本、PHP版本等数据,而对于远程网站的回应,竟然是通过Base64算法处理,这种怪异的流程,看起来像是攻击者在进行侦察,然后试图在受害主机下载作案工具。果不其然,Patchstack将回对的内容进行解密,攻击者下载了冒充内容管理工具的作案工具,而有机会远程在网站执行任意程序代码。
而对于作案工具包的用途,大多与WordPress的用户账号管理有关,其中最受到瞩目的部分,是能够创建具有管理员权限的用户账号,此外,攻击者还能列出用户名单,或是删除账号。再者,此工具包也能让攻击者上传任意文件,或是执行服务器上的任何文件、列发文件夹等工作。
针对此事,Patchstack通报多家大型主机托管企业,这些企业根据入侵指标(IOC)进行扫描,初步确认并未出现大规模感染恶意程序的现象。Patchstack推测,带有后门的插件程序出现的时间相当短暂,仅向少量用户传播。后续RocketGenius也介入调查此事,并向Patchstack表示,仅有手动下载与通过编辑器安装的用户会受到影响。域名注册商Namecheap也停用域名名称gravityapi.org,以遏止后门程序的灾情。
