23萬網站被駭客挾持,因管理者未修補的RCE與任意檔案上傳漏洞惹禍!
網頁應用程式防火牆業者Imperva發現一個自去年底出現的殭屍網路KashmirBlack,駭客鎖定常見網站內容管理平臺(CMS),如WordPress、Joomla,以及Drupal等,藉由網站管理者尚未修補的已知漏洞,來控制這些網站
近年來許多殭屍網路攻擊鎖定物聯網裝置,但這次駭客下手的目標,是採用內容管理平臺(CMS)的網站。近期網頁應用程式防火牆業者Imperva,揭露一個自2019年11月出現的殭屍網路KashmirBlack,駭客鎖定多款知名的網站內容管理系統下手,攻擊的範圍遍及30個國家,而其中大部分的目標仍是美國網站。
駭客控制了這些網站伺服器後,有些他們植入挖礦軟體XMRig,濫用這些網站伺服器來挖取門羅幣,有些則是用發送垃圾信,以及竄改網頁(Defacement)等。Imperva甚至發現,駭客運用部分受害主機來當做殭屍網路的基礎架構。
為了研究殭屍網路KashmirBlack的攻擊手法,Imperva在密罐建置了網站來吸引它們發動攻擊,結果其中1個被竄改成如圖中的釣魚網頁。
根據他們的分析,駭客攻擊的目標並非鎖定單一網站內容管理系統,而是至少有9種,包含WordPress、Joomla、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart,以及Yeager等,駭客利用它們的漏洞來進一步控制網站伺服器。研究人員指出,由於許多採用內容管理系統的網站缺乏維護,不會即時安裝官方推出的修補程式,雖然駭客利用的漏洞不少極為老舊,但還是奏效。
這個殭屍網路運用了那些漏洞呢?根據Imperva列出的17項漏洞來看,不少漏洞允許攻擊者遠端執行任意程式碼(RCE),或者是與上傳任意檔案有關。再者,有些漏洞則是能讓駭客透過暴力破解密碼,以及指令注入等。而這些漏洞不少存在已久,甚至有的超過10年以上。例如,單元測試工具PHPUnit的RCE漏洞CVE-2017-9841,雖然它在2017年才被列管,但實際上存在超過10年之久。
究竟有多少網站遭到這個殭屍網路擺布?研究人員指出,他們看到KashmirBlack有285個機器人,每個機器人單日發動攻擊的對象,平均為240臺主機(或是3,450個網站)不等。如果有1%的主機被攻陷,那麼每天就有700個主機成為受害者。換言之,從這個殭屍網路運作近11個月,迄今保守估計至少有23萬個網站成為受害者。然而,Imperva指出,他們追蹤到的機器人IP位址,應該不是全部,實際受害的網站數量,恐怕遠大於上述數字。
對於幕後操控KashmirBlack的駭客,研究人員透過IP位址尋線追查,認為是印尼駭客組織PhantomGhost所為。
再者,為了藏匿攻擊行動,他們也看到駭客濫用常見的公有雲服務,包含了GitHub、Dropbox,以及Pastebin等,目的要能向已感染的伺服器下達額外指令,而不被資安防護系統發現。
#網站 #駭客 #漏洞 #WordPress #Joomla #Drupal #網頁應用程式防火牆 #殭屍網路 #網站內容管理平臺 #CMS #物聯網 #網站伺服器 #挖礦軟體 #竄改網頁 #Defacement #PrestaShop #Magneto #Vbulletin #OsCommerence #OpenCart #Yeager #遠端執行 #PHPUnit #CVE-2017-9841 #公有雲 #GitHub #Pastebin #Dropbox #WAF #WebApplicationFirewall #deepsecurity