Figyelmeztetés CMS rendszerek kihasználására
Az ausztrál ASD Australian Cyber Security Centre (ACSC) riasztása egy nagyszabású, világszerte zajló támadási kampányra hívja fel a figyelmet, amely különböző tartalomkezelő rendszereket és azok bővítményeit célozza. A támadók ismert, már javított sérülékenységeket használnak ki, majd webshellt telepítenek a kompromittált szerverekre, amely tartós távoli hozzáférést biztosít számukra. Az érintett hibák között jogosulatlan fájlfeltöltést, távoli kódfuttatást, szerveroldali kéréshamisítást és deszerializációs sérülékenységeket lehet találni. A kampány számos WordPress-bővítményt, valamint Craft CMS, Joomla JCE, MaxSite CMS és MetInfo CMS komponenseket érint. A sikeres kompromittálás után a támadók módosíthatják a weboldal tartalmát, hitelesítő adatokat és kiszolgálón tárolt információkat szerezhetnek meg, további kártevőket telepíthetnek, illetve a webszervert kiindulási pontként használhatják a belső hálózat további rendszereinek támadására.
Az ACSC azt javasolja, hogy az üzemeltetők haladéktalanul vizsgálják át a webszervereket webshell-ek és szokatlan fájlok után, elemezzék a naplókat, izolálják a kompromittált rendszereket, ellenőrizzék a perzisztencia jeleit, majd csak teljes helyreállítás és naprakész javítások telepítése után állítsák vissza a szolgáltatásokat. A megelőzés érdekében javasolt a CMS-ek és bővítmények gyors frissítése, a felesleges pluginok eltávolítása, a webkönyvtárak írásvédelme, az alkalmazásvezérlés alkalmazása, valamint a webszerver által indított rendellenes folyamatok és a belső hálózati kommunikáció folyamatos felügyelete.
Az ACSC megosztotta a leginkább kihasznált CMS rendszerek sérülékenységeit is.