Websites, auf denen WordPress und Joomla mit dem Risiko eines böswilligen Injector- und Redirector-Skripts ausgeführt werden
Websites, die beliebte Content Management Systeme (CMS) wie Joomla und WordPress verwenden, unterliegen einem Code-Injector- und Redirector-Skript. Die neue Sicherheitsbedrohung schickt offenbar ahnungslose Besucher auf authentisch aussehende, aber höchst bösartige Websites. Nach erfolgreicher Umleitung versucht die Sicherheitsbedrohung, infizierten Code und infizierte Software an den Zielcomputer zu senden.
Sicherheitsanalysten haben eine überraschende Sicherheitsbedrohung entdeckt, die auf Joomla und WordPress abzielt, zwei der beliebtesten und am weitesten verbreiteten CMS-Plattformen. Millionen von Websites verwenden mindestens eines der CMS, um Inhalte zu erstellen, zu bearbeiten und zu veröffentlichen. Die Analysten warnen jetzt Besitzer von Joomla- und WordPress-Websites vor einem böswilligen Weiterleitungsskript, das Besucher auf bösartige Websites drängt. Eugene Wozniak, ein Sicherheitsforscher bei Sucuri, erläuterte die böswillige Sicherheitsbedrohung, die er auf der Website eines Kunden aufgedeckt hatte.
Die neu entdeckte Bedrohung durch den .htaccess-Injektor versucht nicht, den Host oder den Besucher zu lähmen. Stattdessen versucht die betroffene Website ständig, den Website-Verkehr auf Werbeseiten umzuleiten. Dies klingt möglicherweise nicht sehr schädlich, aber das Injektorskript versucht auch, schädliche Software zu installieren. Der zweite Teil des Angriffs kann in Verbindung mit legitim aussehenden Websites die Glaubwürdigkeit des Hosts erheblich beeinträchtigen.
Joomla sowie WordPress-Websites verwenden sehr häufig die .htaccess-Dateien, um Konfigurationsänderungen auf Verzeichnisebene eines Webservers vorzunehmen. Unnötig zu erwähnen, dass dies eine ziemlich wichtige Komponente der Website ist, da die Datei die Kernkonfiguration der Host-Webseite und ihre Optionen enthält, darunter Website-Zugriff, URL-Weiterleitungen, URL-Verkürzung und Zugriffskontrolle.
Laut den Sicherheitsanalysten hat der Schadcode die URL-Umleitungsfunktion der .htaccess-Datei missbraucht: „Während die meisten Webanwendungen Weiterleitungen verwenden, werden diese Funktionen auch häufig von schlechten Akteuren verwendet, um Werbeimpressionen zu generieren und zu senden ahnungslose Website-Besucher von Phishing-Websites oder anderen schädlichen Webseiten. “
Was wirklich besorgniserregend ist, ist, dass nicht klar ist, wie die Angreifer Zugriff auf die Websites von Joomla und WordPress erhalten haben. Obwohl die Sicherheit dieser Plattformen recht robust ist, können die Angreifer den Schadcode, sobald sie sich im Inneren befinden, ziemlich einfach in die Index.php-Dateien des primären Ziels einfügen. Die Index.php-Dateien sind von entscheidender Bedeutung, da sie für die Bereitstellung der Joomla- und WordPress-Webseiten verantwortlich sind, wie z. B. das Styling des Inhalts und spezielle zugrunde liegende Anweisungen. Im Wesentlichen ist es der primäre Befehlssatz, der anweist, was zu liefern ist und wie zu liefern ist, was auch immer die Website anbietet.
Nach dem Zugriff können die Angreifer die geänderten Index.php-Dateien sicher platzieren. Danach konnten Angreifer die böswilligen Weiterleitungen in die .htaccess-Dateien einfügen. Die Bedrohung durch den .htaccess-Injektor führt einen Code aus, der ständig nach der .htaccess-Datei der Website sucht. Nach dem Auffinden und Einfügen des schädlichen Umleitungsskripts vertieft die Bedrohung die Suche und versucht, nach weiteren Dateien und Ordnern zu suchen, die angegriffen werden können.
Die primäre Methode zum Schutz vor Angriffen besteht darin, die Verwendung der .htaccess-Datei insgesamt zu sichern. Tatsächlich wurde die Standardunterstützung für .htaccess-Dateien ab Apache 2.3.9 aufgehoben. Einige Websitebesitzer entscheiden sich jedoch immer noch dafür, es zu aktivieren.
