محققای Dr. Web یه بدافزار لینوکسی رو شناسایی کردن که از 30 آسیب پذیری موجود در پلاگین ها و تم های وردپرسی برای تزریق کدهای جاوااسکریپت مخرب استفاده میکنه.
پلاگین ها و تم های آسیب پذیر :
WP Live Chat Support Plugin
WordPress – Yuzo Related Posts
Yellow Pencil Visual Theme Customizer Plugin
Easysmtp
WP GDPR Compliance Plugin
Newspaper Theme on WordPress Access Control (CVE-2016-10972)
Thim Core
Google Code Inserter
Total Donations Plugin
Post Custom Templates Lite
WP Quick Booking Manager
Faceboor Live Chat by Zotabox
Blog Designer WordPress Plugin
WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
WP-Matomo Integration (WP-Piwik)
WordPress ND Shortcodes For Visual Composer
WP Live Chat
Coming Soon Page and Maintenance Mode
Hybrid
اگر وب سایت وردپرسی از نسخه های قدیمی و آسیب پذیر موارد بالا استفاده بکنه ، بدافزار کد جاوااسکریپت رو از C&C خودش دریافت و به سایت تزریق میکنه.
کد مخرب سایت رو به یه جای دیگه ریدایرکت میکنه و در نتیجه سایتهایی که بروزرسانی نمیشن ، متروکه هستن ، اهداف جالبی برای این بدافزار هستن.
این ریدایرکت شدن ، امکان فیشینگ ، توزریع بدافزار و تبلیغات غیرقانونی رو فراهم میکنه. همچنین اپراتورهای بدافزار میتونن این دسترسی ها رو به گروههای دیگه بفروشن.
نسخه جدید این بدافزار پلاگین ها و تم های زیر رو هم هدف قرار میده:
Brizy WordPress Plugin
FV Flowplayer Video Player
WooCommerce
WordPress Coming Soon Page
WordPress theme OneTone
Simple Fields WordPress Plugin
WordPress Delucks SEO plugin
Poll, Survey, Form & Quiz Maker by OpinionStage
Social Metrics Tracker
WPeMatico RSS Feed Fetcher
Rich Reviews plugin
هر دو نسخه دارای ویژگی بروت فورس حساب ادمین رو هم دارن که البته غیرفعال هستش.
توصیه شده حتما افزونه ها و تم هاتون رو بروز کنید و اگه تم یا افزونه ای پشتیبانی نمیشه حتما با مواردی که قابلیت پشتیبانی رو دارن جایگزین کنید. از پسوردهای قوی و مکانیسم 2fa استفاده کنید.