 |
Muut verkkotunnukset myös meidän kautta
Kriittinen haavoittuvuus WordPress-sisällönhallintajärjestelmässä
Haavoittuvuuksia korjattu Mozilla Firefoxissa ja Thunderbirdissä
25 11 2014
CryptoPHP-haittaohjelma leviää luvattomasti muokattujen Drupal-, Joomla- ja WordPress-lisäosien avulla.
drupal, wordpress, joomla, cryptophpHollantilainen Fox-IT on selvittänyt CryptoPHP:ksi ristimänsä haittaohjelmakampanjan toimintaa. Haittaohjelma leviää luvattomasti muunneltujen Drupal-, Joomla- ja WordPress-teemojen ja -liitännäisten avulla.
Luvattomasti muokatut liitännäiset kulkevat nimellä "nulled scripts", ja niistä on poistettu lisensointiin ja käyttöoikeuksiin liittyvät tarkastukset. Liitännäiset ovat olleet ladattavissa verkkosivustoilta, joilla tällä tavoin luvattomasti muokattuja lisäosia on ollut yleisesti tarjolla. Toiminta on käytännössä ohjelmistopiratismia, joten uhreiksi ovat joutuneet piraattiversioita liitännäisistä sivustoilleen asentaneet ylläpitäjät.
Fox-IT:n selvityksissä havaittiin, että muokattuihin liittännäisiin oli lisätty haittakoodia, joka korvasi liitännäistä käyttävän sivuston vastauksia omillaan silloin, kun kyselyitä teki esim. hakukoneen indeksointirobotti. Kyselyihin annettiin vastaukseksi hyökkääjien palveluiden osoitteita, jolloin niiden merkittävyys hakukoneen tilastoissa kasvoi. Vastaavasti CryptoPHP:llä saastutettuja lisäosia käyttävät sivustot menettivät hakukone- ja kävijäliikennettä. CryptoPHP sisältää myös itsepäivitystoiminnallisuuden, joten sen avulla voi olla mahdollista ajaa sivustoa ylläpitävällä palvelimella muutakin haitallista ohjelmakoodia.
Fox-IT arvioi, että ainakin tuhat verkkosivustoa on onnistuttu saastuttamaan CryptoPHP:llä. Osa näistä sivustoista sijaitsee Suomessa. Kyberturvallisuuskeskus välittää tietoonsa tulleista saastuneista sivuista tiedon ylläpitäjille Autoreporter-järjestelmän avulla.
CryptoPHP-takaovelta voi suojautua käyttämällä ainoastaan luotetuista lähteistä ladattuja liitännäisiä.
Lisätietoja:
https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf
Päivityshistoria
- 25.11.2014 klo 13:13Julkaistu
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.