WordPress kwetsbaar voor misbruik van verborgen directory

WordPress en Joomla behoren tot de meest populaire contentmanagementsystemen (CMS’en). Hierdoor zijn ze echter ook populair geworden voor cybercriminelen die deze platformen targeten voor hacking en het injecteren van kwaadaardige content. ThreatLabZ-onderzoekers van Zscaler hebben in de afgelopen weken verschillende WordPress- en Joomla-sites gevonden die waren geïnfecteerd met Shade-/Troldesh-ransomware, backdoors en redirectors, en verschillende phishing-pagina's bedienden. De meeste bedreigingen voor CMS-sites zijn het gevolg van kwetsbaarheden in gebruikte plug-ins, thema's en extensies.

Shade-/Troldesh-ransomware

Shade-ransomware is behoorlijk actief. Zscaler heeft een aantal aangetaste WordPress- en Joomla-sites gedetecteerd dat wordt gebruikt om de ransomware te verspreiden. Het gaat hierbij om WordPress-sites, versies 4.8.9 tot 5.1.1, die SSL-certificaten gebruiken die zijn uitgegeven door ACME (Automatic Certificate Management Environment)-gedreven certificeringsautoriteiten (CA), zoals Let's Encrypt, GlobalSign, cPanel en DigiCert. Deze aangetaste WordPress-sites hebben mogelijk verouderde CMS-plug-ins/-thema's of server-side software die ook de reden voor het misbruik kunnen zijn.

Hits-of-Shade-and-phishing-detected-CMS-sites-615x211

In de afgelopen maanden blokkeerde Zscaler transacties voor de gecompromitteerde WordPress- en Joomla-sites vanwege Shade-ransomware-payloads (13,6%) en phishing-pagina’s (27,6%), alsook coinminers, adware en kwaadaardige redirects.

Misbruik van verborgen directory op de HTTPS-sites

Zscaler heeft de HTTPS-sites enkele weken gemonitord en ontdekte dat de aanvallers een verborgen directory gebruikten voor het opslaan en distribueren van de Shade-ransomware en phishing-pagina’s. Deze verborgen well-known-directory in een website is een URI-prefix voor well-known locaties en wordt doorgaans gebruikt om het eigendom van een domein aan te tonen. Beheerders van HTTPS-websites die ACME gebruiken voor het beheren van SSL-certificaten plaatsen een unieke token in die directory om aan te tonen dat ze het domein beheren. Ze ontvangen van de CA een specifieke code voor in die directory, waarna de site gescand wordt om deze code te valideren.

Aanvallers gebruiken deze locaties om malware- en phishing-pagina’s te verbergen voor de beheerders. Dit is een effectieve tactiek omdat de directory aanwezig is op de meeste HTTPS-sites en bovendien verborgen is.

Hieronder een overzicht van van de verschillende soorten bedreigingen die zijn gevonden in de verborgen directory:

ThreatLabZ-detected-threats-in-hidden-directory-615x369

Het belang van SSL-inspectie en security-trainingen

Deepen Desai, vice president Security Research bij Zscaler, adviseert organisaties het volgende: “De meerderheid van de aangevallen websites in deze ransomware-campagne waren geïnfecteerd en hadden HTTPS ingeschakeld. Dit benadrukt het belang van een zorgvuldige SSL-inspectie binnen de netwerkbeveiliging-stack van organisaties, om zo effectief kwaadaardige content, afkomstig van geïnfecteerde websites, te detecteren en blokkeren. Security-trainingen voor medewerkers zijn eveneens belangrijk, aangezien slachtoffers vaak getarget worden via e-mails met links naar websites die fungeren als phishing-pagina of ransomware-payload. Medewerkers moeten ervoor zorgen dat zij niet klikken op links in ongevraagde e-mails, met name wanneer het een onbekende externe afzender betreft.”