One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8527308 |
| Date de publication | 2024-06-28 15:21:37 (vue: 2024-06-28 16:07:32) |
| Titre | L'attaque de la chaîne d'approvisionnement sur les plugins wordpress.org conduit à 5 plugins WordPress compromis malveillants Supply Chain Attack on WordPress.org Plugins Leads to 5 Maliciously Compromised WordPress Plugins |
| Texte | ## Instantané
L'équipe WordFence Threat Intelligence a identifié un acteur de menace qui a falsifié le code source de cinq plugins WordPress sur wordpress.org en intégrant des scripts PHP malveillants conçus pour créer de nouveaux comptes administratifs sur des sites Web affectés.
## Description
Cette violation s'est probablement produite entre le 21 juin et le 22 juin. Lors de la découverte, WordFence a rapidement informé les développeurs des plugins compromis, entraînant la libération de correctifs pour la plupart des produits affectés.Collectivement, ces plugins ont été installés sur plus de 35 000 sites Web.
Les plugins touchés comprennent:
- Guerre sociale
- widget d'incendie
- Élément de lien en wrapper
- Formulaire de contact 7 Addon en plusieurs étapes
- Afficher simplement les crochets
Le logiciel malveillant injecté crée non seulement de nouveaux comptes d'utilisateurs administratifs, mais insère également le spam SEO dans des sites Web compromis, transmettant des données à l'adresse IP 94.156.79 \ [. \] 8.Les comptes d'administration créés arbitrairement sont nommés «Options» et «Pluginauth».Il est conseillé aux administrateurs de sites Web de remarquer ces comptes ou un trafic inhabituel vers cette adresse IP pour effectuer des analyses de logiciels malveillants approfondies et des procédures de nettoyage.
WordFence a noté que certains des plugins affectés ont été temporairement supprimés de WordPress.org, ce qui peut entraîner des avertissements pour les utilisateurs, même s'ils ont mis à jour vers des versions corrigées.Une enquête est en cours pour déterminer comment l'acteur de menace a eu accès au code source des plugins \\ '.Malgré les inquiétudes que l'attaque pourrait affecter une gamme plus large de plugins, les preuves actuelles suggèrent que le compromis est limité aux cinq identifiés.
De plus, l'opération de porte dérobée permet un accès et un contrôle non autorisés, facilitant l'injection de SEO Spam sur le site Web compromis.Cette attaque sophistiquée souligne l'importance de maintenir les mesures de sécurité mises à jour et de surveiller le trafic du site Web pour des signes d'activité non autorisée.Les propriétaires de sites Web sont invités à rester vigilants et à s'assurer que leurs plugins sont à jour pour atténuer le risque de telles vulnérabilités.
## Recommandations
Word Press recommande que si les propriétaires de sites Web remarquent ces comptes ou le trafic vers l'adresse IP de l'attaquant \\, ils devraient effectuer une analyse et un nettoyage de logiciels malveillants complètes.
Recommandations générales pour WordPress sur Azure
- Utilisez un pare-feu d'application Web Azure
- Retirez les plug-ins et thèmes inutilisés
- Déchargez le contenu statique loin du processeur PHP
- Invalidation du cache réseau de livraison de contenu
- Activer l'authentification à deux facteurs
- Désactiver l'accès XML-RPC
- restreindre l'accès au panel d'administration
- Stocker les secrets dans Azure Key Vault
- Tunes Performance
Pour plus d'informations sur WordPress sur Azure, cliquez sur [ici] (https://learn.microsoft.com/en-us/azure/architecture/guide/infrastructure/wordpress-overview).
## Les références
"[L'attaque de la chaîne d'approvisionnement sur les plugins wordpress.org conduit à 5 plugins WordPress compromis malveillants".] (Https://www.wordfence.com/blog/2024/06/supply-chain-attack-on-wordpress-org-plugins-Leads-to-5 malicieusement compromis-wordpress-plugins /) wordfence (consulté en 2024-06-24).
"[WordPress sur Azure"] (https://learn.microsoft.com/en-us/azure/architecture/guide/infrastructure/wordpress-overview).Microsoft (consulté en 2024-06-26).
## Snapshot Wordfence Threat Intelligence team identified a threat actor who tampered with the source code of five WordPress plugins on WordPress.org by embedding malicious PHP scripts designed to |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | 000 156 2024 access accessed accounts activity actor addition addon address admin administration administrative administrators advised affect affected also application arbitrarily are attack attacker authentication away azure azure backdoor been between blaze breach broader but cache chain clean cleanup click code collectively com/blog/2024/06/supply com/en complete compromise compromised concerns contact content control create created creates current data date delivery description designed despite determine developers disable discovery element embedding enable enables ensure even evidence facilitating factor firewall five form from gained general has have here hooks how https://learn https://www identified impacted importance include: information injected injection ins inserts installed intelligence invalidation investigation june key leads likely limited link maintaining malicious maliciously malware may measures microsoft might mitigate monitoring more most multi named network new not noted notice noticing notified occured offload only operation org over overview owners panel patched patches perform performance php plug plugins plugins/ press procedures processor products promptly range recommendations recommends references release remove removed restrict result resulting risk rpc scan scans scripts secrets security seo should show signs simply snapshot social some sophisticated source spam static stay step store such suggests supply tampered team temporarily themes these thorough threat throughout traffic transmitting tune two unauthorized underscores underway unused unusual updated upon urged us/azure/architecture/guide/infrastructure/wordpress use user users vault versions vigilant vulnerabilities warfare warnings web website websites which who widget word wordfence wordpress wrapper xml “options” “pluginauth |
| Tags | Spam Malware Vulnerability Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.