WordPress. Orderland
Websteder, der anvender populære Content Management Systems (CMS) som Joomla og WordPress, er underlagt et kodeinjektor- og omdirigeringsscript. Den nye sikkerhedstrussel sender tilsyneladende intetanende besøgende til autentiske, men meget ondsindede websteder. Når den er omdirigeret, forsøger sikkerhedstruslen at sende inficeret kode og software til målcomputeren.
Sikkerhedsanalytikere har afdækket en overraskende sikkerhedstrussel, der er rettet mod Joomla og WordPress, to af de mest populære og udbredte CMS-platforme. Millioner af websteder bruger mindst et af CMS til at oprette, redigere og udgive indhold. Analytikerne advarer nu ejere af Joomla- og WordPress-websteder om et ondsindet omdirigeringsscript, der skubber besøgende til ondsindede websteder. Eugene Wozniak, en sikkerhedsforsker med Sucuri, detaljerede den ondsindede sikkerhedstrussel at han havde afdækket på en klients websted.
Den nyligt opdagede .htaccess-injektortrussel forsøger ikke at lamme værten eller den besøgende. I stedet forsøger det berørte websted konstant at omdirigere webstrafik til reklamesider. Selvom dette måske ikke lyder meget skadeligt, forsøger injektionsskriptet også at installere ondsindet software. Den anden del af angrebet, når det kombineres med legitime websteder, kan i alvorlig grad påvirke værts troværdighed.
Joomla såvel som WordPress-websteder bruger meget ofte .htaccess-filerne til at foretage konfigurationsændringer på biblioteksniveauet på en webserver. Det er overflødigt at nævne, at dette er en ret kritisk komponent på hjemmesiden, fordi filen indeholder kernekonfiguration af værtswebsiden og dens muligheder, der inkluderer webstedsadgang, URL-omdirigeringer, URL-afkortning og adgangskontrol.
Ifølge sikkerhedsanalytikerne misbrugte den ondsindede kode URL-omdirigeringsfunktionen i .htaccess-filen, “Mens de fleste webapplikationer bruger omdirigeringer, bruges disse funktioner også ofte af dårlige aktører til at generere reklamevisninger og til at sende intetanende webstedsbesøgende på phishing-websteder eller andre ondsindede websider. ”
Det, der virkelig vedrører, er, at det er uklart, hvordan angriberne fik adgang til Joomla- og WordPress-webstederne. Mens sikkerheden på disse platforme er ret robust, kan de angribere, når de først er indeni, ganske let plante den ondsindede kode i det primære måls Index.php-filer. Index.php-filerne er kritiske, da de er ansvarlige for at levere Joomla- og WordPress-websiderne, som indholdsstyling og specielle underliggende instruktioner. I det væsentlige er det det primære sæt instruktioner, der instruerer, hvad de skal levere, og hvordan man leverer det, som hjemmesiden tilbyder.
Efter at have fået adgang kan angriberne plante de modificerede Index.php-filer sikkert. Derefter kunne angribere injicere de ondsindede omdirigeringer i .htaccess-filerne. .Htaccess-injektortruslen kører en kode, der fortsætter med at søge efter .htaccess-filen på webstedet. Efter at have fundet og injiceret det ondsindede omdirigeringsscript, uddyber truslen søgningen og forsøger at lede efter flere filer og mapper, der skal angribes.
Den primære metode til at beskytte mod angrebet er at dumpe brugen af .htaccess-filen helt. Faktisk blev standardunderstøttelse af .htaccess-filer elimineret startende med Apache 2.3.9. Men flere webstedsejere vælger stadig at aktivere det.
