Προαίρεση Σοβαρής Ασφάλειας: Επίθεση κατά του Smart Slider 3 Pro
Η ασφάλεια των ιστότοπων, ειδικά αυτών που βασίζονται σε δημοφιλείς πλατφόρμες όπως το WordPress και το Joomla, παραμένει υψίστης σημασίας, ιδιαίτερα όταν καταγράφονται περιστατικά όπως η πρόσφατη παραβίαση του Smart Slider 3 Pro. Οι χάκερ κατόρθωσαν να αποκτήσουν πρόσβαση στο σύστημα ενημερώσεων της εφαρμογής Smart Slider 3 Pro, προχωρώντας στη διανομή μιας κακόβουλης έκδοσης που διαθέτει πολλαπλές κερκόπορτες, οι οποίες επιτρέπουν στους επιτιθέμενους να εκμεταλλεύονται ιστότοπους γύρω από τον κόσμο. Η ανησυχία για τέτοιες επιθέσεις είναι δικαιολογημένη, καθώς εκατοντάδες χιλιάδες ιστότοποι χρησιμοποιούν το Smart Slider για να δημιουργήσουν ελκυστικές και λειτουργικές ρυθμίσεις με απόκριση.
Σύμφωνα με δηλώσεις του προγραμματιστή, μόνο η Pro έκδοση 3.5.1.35 της προσθήκης επηρεάστηκε και συνιστάται η άμεση αναβάθμιση στην πιο πρόσφατη έκδοση (3.5.1.36) ή, εναλλακτικά, στην 3.5.1.34 και παλαιότερες εκδόσεις. Η παρέμβαση της κακόβουλης ενημέρωσης δεν περιορίζεται μόνο σε απλές παραβιάσεις, αλλά περιλαμβάνει την εγκατάσταση backdoors σε πολλές τοποθεσίες, την εποπτεία κρυπτογραφημένων δεδομένων και την ανάθεση δικαιωμάτων διαχειριστή σε κρυφούς χρήστες.
Προβλήματα που Ενδέχεται να Προκαλέσει η Κακόβουλη Ενημέρωση
Η κακόβουλη ενημέρωση κυκλοφόρησε στις 7 Απριλίου και, σύμφωνα με αναλύσεις που δημοσιεύθηκαν από την PatchStack, μια μελετητική εταιρεία που εστιάζει στην ασφάλεια του WordPress, το κακόβουλο λογισμικό περιλαμβάνει μια πλήρως εξοπλισμένη εργαλειοθήκη, η οποία είναι ενσωματωμένη στο κύριο αρχείο της προσθήκης. Οι ερευνητές διαπίστωσαν ότι η κακόβουλη παρέμβαση επιτρέπει σε εξωτερικούς εισβολείς να εκτελούν εντολές χωρίς αναγκαίο έλεγχο ταυτότητας, μέσω δηλαδή αρχικών κεφαλίδων HTTP.
Οι μέθοδοι παραμονής του κακόβουλου λογισμικού περιλαμβάνουν:
- Δημιουργία ενός κρυφού λογαριασμού διαχειριστή
- Καταχώρηση backdoors στο ενεργό θέμα του ιστότοπου μέσω του αρχείου functions.php
- Έγχυση επιπλέον κακόβουλων αρχείων στον κατάλογο wp-includes
- Αυτοματοποιημένη κλοπή διαπιστευτηρίων μέσω ελιγμών εντολών PHP
Πηγή: PatchStack
Προτεινόμενες Ενέργειες για την Ασφάλεια των Ιστότοπων
Ο προμηθευτής προτείνει στους χρήστες που εγκατέστησαν την κακόβουλη έκδοση να ελέγξουν προσεκτικά τους ιστότοπούς τους. Η ενημέρωση προσδιορίζει τις 5 Απριλίου ως την ασφαλέστερη ημερομηνία για την επαναφορά αντιγράφων ασφαλείας, λαμβάνοντας υπόψη τις διαφορές ζώνης ώρας. Είναι ιδιαίτερα σημαντικό για τους διαχειριστές να επιβεβαιώσουν ότι οι παραβιασμένες εκδόσεις έχουν απομακρυνθεί και ότι τα δεδομένα τους είναι ασφαλή.
Αν οι διαχειριστές ανακαλύψουν την κακόβουλη έκδοση της προσθήκης, προτείνεται να αναλάβουν τις παρακάτω ενέργειες:
- Διαγράφουν κακόβουλους χρήστες και αρχεία
- Επαναεγκαταστήσουν τον πυρήνα και τις προσθήκες του WordPress από αξιόπιστες πηγές
- Αλλάζουν όλα τα διαπιστευτήρια (εκτός από τον WordPress, και το DB, FTP/SSH, φιλοξενία)
- Αναγεννούν τα κλειδιά ασφαλείας του WordPress
- Σαρώσουν για εναπομείναντα κακόβουλο λογισμικό και αρχεία καταγραφής ελέγχου
Για τους υπεύθυνους ιστότοπων που δεν διατηρούν διαθέσιμα αντίγραφα ασφαλείας, είναι κρίσιμο να απαλλαχθούν από την παραβιασμένη προσθήκη και να εγκαταστήσουν μία καθαρή έκδοση της προσθήκης. Ο προμηθευτής παρέχει έναν οδηγό μη αυτόματης εκκαθάρισης, ο οποίος επίσης προτείνει τη μεταφορά του ιστότοπου σε λειτουργία συντήρησης προτού προχωρήσουν σε οποιαδήποτε ενέργεια.
Γενικές Συστάσεις Ασφαλείας
Ακολούθως, οι διαχειριστές θα πρέπει να:
- Ενημερώνουν τα λογισμικά τους στην πιο πρόσφατη έκδοση
- Ενεργοποιούν την προστασία ταυτότητας δύο παραγόντων (2FA)
- Περιορίσουν την πρόσβαση διαχειριστή μόνο σε εξουσιοδοτημένα άτομα
- Χρησιμοποιούν ισχυρούς, μοναδικούς κωδικούς πρόσβασης
Για περισσότερες λεπτομέρειες σχετικά με τη διατήρηση της ασφάλειας στον ιστό, μπορείτε να επισκεφθείτε την οδηγία του WordPress για την Σκληρύνηση.
