Поделиться
Десяткам тысяч сайтов угрожают атаки по цепочкам поставок
Хакеры скомпрометировали популярный сервис и ряд плагинов к Wordpress. Пострадать могли десятки тысяч ресурсов.
Дело о полизаполнениях
Десятки, возможно, сотни тысяч сайтов стали жертвами атак по «цепочкам поставок», в ходе которых злоумышленники использовали распространённые сервисы и компоненты для компрометации веб-ресурсов.
В частности более 100 тыс. сайтов столкнулись с серьезными проблемами после того, как некая китайская компания успела перехватить домен сервиса Polyfill.io и установить переадресацию (редиректы) на сторонние, вредоносные и мошеннические, сайты.
Polyfill (полизаполнение) - это решения на javaScript, имитирующие работу новых функций HTML5 в устаревших браузерах, так что их пользователи могли получать весь контент наравне с теми, кто пользуется новейшими программами для просмотра.
Сервис Polyfill.io и его решения обеспечивали клиентским сайтам возможность адаптировать свое содержимое для старых браузеров, не меняя свой основной код.
Однако, как сообщила компания Sansec, некоторое время назад домен Polyfill.io и аккаунт сервиса в Github были перекуплены китайской компаний Funnull. Которая начала внедрять в клиентские сайты, в которые встроен сервис cdn.polyfill.io, вредоносный код.
Что интересно, создатель сервиса Эндрю Беттс (Andrew Betts) заявил, что он хоть и разработчик, но доменное имя ему никогда не принадлежало, и на его продажу он повлиять никак не мог. «Если ваш сайт использует polyfill.io, удалите его НЕМЕДЛЕННО», - написал Беттс ещё в феврале, когда стало известно о покупке.
«Сегодня ни один сайт уже не требует полизаполнения из библиотеки http://polyfill.io», - добавил он. По его словам, большинство новых функций веб-платформ моментально интегрируются во все основные браузеры, а редки исключения вроде Web Serial или Web Bluetooth, подменить полизаполнением и не получится.
Фирма Sansec удостоверилась, что в большинстве случае встраиваемые новым владельцем polyfill.io редиректы направляют конечных пользователей на вредоносные и мошеннические сайты, иногда используя поддельный домен аналитики Google.
Эксперты также отметили, что встроенный Funnull скрипт содержит очень нетипичную и эффективную защиту от любых попыток его анализа и обратной разработки и активируется только в определённое время на определённых мобильных устройствах.
Каким-то образом домен cdn.polyfill.io оказался недавно перенаправлен на «зеркало» сервиса Cloudflare. Однако записи DNS не менялись, а значит владельцы могут вернуть его обратно в любой момент.
Google уже начал рассылать рекламодателям уведомления, что система доставки контента polyfill.io скомпрометирована и перенаправляет пользователей на посторонние ресурсы без ведома и согласия владельцев сайтов. Скомпрометированы также Bootcss.com, Bootcdn.net и Staticfile.org.
Google предупреждает рекламодателей, что если в ходе проверки их объявлений будут выявлены эти ресурсы, последуют санкции.
Скомпрометированные исходники плагинов
Помимо этого неизвестные злоумышленники произвели еще одну атаку по цепочкам поставок: им удалось скомпрометировать исходные коды как минимум пяти популярных плагинов к системе управления контентом WordPress, внедрив туда вредоносные PHP-скрипты, которые автоматически создавали новые административные аккаунты к сайтам.
Атака была произведена 21-22 июня. К счастью, её удалось довольно быстро обнаружить: группа Wordfence Threat Intelligence проинформировала разработчиков плагинов, и почти все поторопились выпустить исправления.
Скомпрометированными оказались следующие плагины:
Social Warfare версий 4.4.6.4 - 4.4.7.1 (4.4.7.3)
Blaze Widget 2.2.5 to 2.5.2 (исправлено в версии 2.5.4)
Wrapper Link Element 1.0.2 - 1.0.3 (исправлено в версии 1.0.5)
Contact Form 7 Multi-Step Addon 1.0.4 - 1.0.5 (исправлено в версии 1.0.7)
Simply Show Hooks 1.2.1 - 1.2.2 (исправления пока нет).
Надо отметить, что все эти плагины размещаются на основном сайте WordPress - WordPress.org.
Каким образом злоумышленники добрались до исходного кода всех этих разработок, остаётся пока загадкой. Не исключено, что скомпрометированы могли быть и другие плагины, хотя подтверждения этому пока нет.
Индикаторами компрометации, помимо появления посторонних административных аккаунтов с названиями Options и PluginAuth, также является JavaScript в нижней панели, который осуществляет SEO-накрутку, и обмен данными с IP-адресом 94.156.79.8.
«Непрямые атаки подобного рода опасны, в первую очередь, тем, что жертв у них может быть бесконечно много», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. По его словам, кроме того, очень сложно бывает определить источник атаки. «Впрочем, любые плагины и другие сторонние компоненты всегда следует рассматривать как наиболее вероятный источник проблем», - подытожил Михаил Зайцев.
Эксперт добавил, что обе описанные атаки имеют мало общего, единственное их сходство - в том, что в обоих случаях число пострадавших может идти на десятки тысяч.
Поделиться
Короткая ссылка
