Rejtett adminok, ellopott adatok
A rosszindulatú frissítés egyszerre több hátsó kaput nyitott az érintett oldalakon: rejtett adminisztrátori profilt hozott létre, érzékeny adatokat lopott el, és nehezen észlelhető helyekre – például a /cache és /media mappákba – további kártékony kódot telepített. A támadók április 7-én juttatták el a veszélyes frissítést, így számos weboldal már kompromittálódhatott.
A bővítményt világszerte több mint 900 000 weboldal használja, így a következmények messzire nyúlnak.
Sokrétegű támadás, masszív túlélés
A PatchStack elemzése szerint a kártevő egy összetett, többrétegű eszköztár, amely elsősorban abban veszélyes, hogy a bővítmény működését nem zavarja, miközben teljes hozzáférést enged a támadók számára: mindenféle hitelesítés nélkül, speciális HTTP-fejléceken keresztül hajthatnak végre parancsokat. Egy második, már jelszóvédett hátsó kapu is be van építve, képes mind PHP-kódot, mind operációsrendszer-szintű parancsokat futtatni, valamint automatikusan ellopja a hitelesítési adatokat is.
A túlélés érdekében egyedi technikákat is bevetettek: rejtett adminfiókot regisztráltak az adatbázisba (általában wpsvc_ előtaggal), valamint a bővítmény speciális „mu-plugins” könyvtárába egy legitim gyorsítótár-bővítménynek álcázott kártékony plugint helyeztek el. Ezeket a „must-use” plugineket a WordPress automatikusan betölti, és nem lehet őket kikapcsolni vagy láthatóvá tenni az adminfelületen.
A támadók a jelenleg használt témák functions.php fájlját és a wp-includes mappába helyezett, álnevet viselő PHP-fájlt is megfertőzték, amely a WordPress-adatbázistól teljesen függetlenül, egy külön .cache_key állományból olvassa ki a hitelesítési adatokat. Ez biztosítja, hogy a hátsó kapu az adatbázis lecserélése után is működőképes maradjon.
Mit tehetnek az érintettek?
A fejlesztők azt tanácsolják: aki április 5-én vagy előtte készített biztonsági mentést, azt állítsa vissza, így teljesen megszabadulhat a kártevőtől. Mentés híján azonnal el kell távolítani a fertőzött bővítményt, majd tiszta példányt (3.5.1.36) kell telepíteni. Ezt követően kötelező törölni minden rejtett adminisztrátort, a gyanús fájlokat és adatbázis-bejegyzéseket, majd megbízható forrásból újratelepíteni a WordPress magját, a bővítményeket és a témákat.
Minden jelszót (WP, adatbázis, FTP/SSH, tárhely, e-mail) meg kell változtatni, valamint a WordPress-biztonsági kulcsokat is újra kell generálni. Az oldalt víruskeresővel át kell vizsgálni, a naplókat pedig ellenőrizni kell.
A hosszú távú védelem érdekében szükséges bekapcsolni a kétfaktoros hitelesítést, a bővítményeket naprakészen tartani, az adminisztrátori hozzáférést korlátozni és erős, egyedi jelszavakat használni.
