2020
11
02

23萬網站被駭客挾持,因管理者未修補的RCE與任意檔案上傳漏洞惹禍!使用WordPress、Joomla、Drupal的網站都要注意[轉載於iThome]

關鍵字:WordPressJoomlaDrupalRCE

年來許多殭屍網路攻擊鎖定物聯網裝置,但這次駭客下手的目標,是採用內容管理平臺(CMS)的網站。近期網頁應用程式防火牆業者Imperva,揭露一個自2019年11月出現的殭屍網路KashmirBlack,駭客鎖定多款知名的網站內容管理系統下手,攻擊的範圍遍及30個國家,而其中大部分的目標仍是美國網站。

駭客控制了這些網站伺服器後,有些他們植入挖礦軟體XMRig,濫用這些網站伺服器來挖取門羅幣,有些則是用發送垃圾信,以及竄改網頁(Defacement)等。Imperva甚至發現,駭客運用部分受害主機來當做殭屍網路的基礎架構。

根據他們的分析,駭客攻擊的目標並非鎖定單一網站內容管理系統,而是至少有9種,包含WordPress、Joomla、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart,以及Yeager等,駭客利用它們的漏洞來進一步控制網站伺服器。研究人員指出,由於許多採用內容管理系統的網站缺乏維護,不會即時安裝官方推出的修補程式,雖然駭客利用的漏洞不少極為老舊,但還是奏效。

 

這個殭屍網路運用了那些漏洞呢?根據Imperva列出的17項漏洞來看,不少漏洞允許攻擊者遠端執行任意程式碼(RCE),或者是與上傳任意檔案有關。再者,有些漏洞則是能讓駭客透過暴力破解密碼,以及指令注入等。而這些漏洞不少存在已久,甚至有的超過10年以上。例如,單元測試工具PHPUnit的RCE漏洞CVE-2017-9841,雖然它在2017年才被列管,但實際上存在超過10年之久。

究竟有多少網站遭到這個殭屍網路擺布?研究人員指出,他們看到KashmirBlack有285個機器人,每個機器人單日發動攻擊的對象,平均為240臺主機(或是3,450個網站)不等。如果有1%的主機被攻陷,那麼每天就有700個主機成為受害者。換言之,從這個殭屍網路運作近11個月,迄今保守估計至少有23萬個網站伺服器成為受害者。然而,Imperva指出,他們追蹤到的機器人IP位址,應該不是全部,實際受害的網站數量,恐怕遠大於上述數字。

對於幕後操控KashmirBlack的駭客,研究人員透過IP位址尋線追查,認為是印尼駭客組織PhantomGhost所為。

再者,為了藏匿攻擊行動,他們也看到駭客濫用常見的公有雲服務,包含了GitHub、Dropbox,以及Pastebin等,目的要能向已感染的伺服器下達額外指令,而不被資安防護系統發現。

傑立資訊傑立資訊事業有限公司

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.