Australias Cyber Security Centre (ACSC) advarer organisasjoner om en kampanje som utnytter CMS-plattformer og retter seg mot nettsteder bygget på populære publiseringssystemer.

Ifølge myndigheten skanner angripere aktivt etter sårbare nettsteder og utnytter svakheter i CMS-plattformer og utvidelser for å installere websheller. Når en webshell er installert, får angriperne fjernkontroll over den kompromitterte webserveren.

Kampanje retter seg mot flere CMS-plattformer

ACSC opplyser at angriperne utnytter sårbarheter som gjør det mulig å laste opp filer uten autentisering, utføre ekstern kode (RCE), gjennomføre server-side request forgery (SSRF) og utnytte usikker deserialisering.

Kampanjen retter seg hovedsakelig mot WordPress og utvidelsen Joomla Content Editor (JCE).

Forskere har også observert angrep mot:

  • Craft CMS
  • MaxSite CMS
  • MetInfo CMS
  • Sneeit Framework

Ved å utnytte disse sårbarhetene kan angriperne installere websheller uten gyldige påloggingsopplysninger.

Websheller gir angriperne fjernkontroll

Når en webshell er installert, kan angriperne styre den berørte serveren eksternt.

De kan slå nettsteder ut av drift, endre innhold med politiske budskap, stjele sensitiv eller personlig informasjon, laste opp mer skadevare eller bruke den kompromitterte serveren som et springbrett for å angripe andre systemer i nettverket.

ACSC opplyser at mange små og mellomstore bedrifter i Australia allerede er rammet.

Kampanjen er imidlertid ikke begrenset til Australia. Myndigheten sier at organisasjoner over hele verden også har blitt utsatt.

ACSC advarer om kortere tid til å tette sårbarheter

Ifølge ACSC viser kampanjen hvor raskt angripere utnytter nyoppdagede sårbarheter.

Organisasjoner har nå mindre tid til å installere sikkerhetsoppdateringer før trusselaktører begynner å lete etter sårbare systemer.

Myndigheten anbefaler å gjennomgå webserverlogger, tilgangslogger og nettverksaktivitet for å avdekke tegn på uautorisert tilgang.

Sikkerhetsteam bør også kontrollere brukerkontoer og gjenopprette en ren sikkerhetskopi dersom de finner tegn på kompromittering.

Organisasjoner bør oppdatere og overvåke systemene

ACSC oppfordrer administratorer til å sørge for at både CMS-plattformen og alle installerte utvidelser holdes fullt oppdaterte.

Myndigheten anbefaler også å:

  • Begrense tilgangen til sensitive filer og kataloger.
  • Overvåke eller blokkere uautorisert opprettelse av filer.
  • Holde øye med uventede prosesser på webservere.
  • Innføre nettverkssegmentering der det er mulig.

Disse tiltakene kan redusere konsekvensene av vellykkede angrep og gjøre det vanskeligere for angripere å bevege seg videre i interne nettverk.

KI ventes å øke cybertruslene

Advarselen kommer kort tid etter at etterretningsmyndigheter i Australia, Canada, New Zealand, Storbritannia og USA publiserte en felles rådgivning.

Myndighetene mener at fremskritt innen kunstig intelligens sannsynligvis vil øke både hastigheten og omfanget av cyberoperasjoner.

De understreker også at cyberberedskap nå er en forretningskritisk oppgave, og ikke bare et ansvar for IT-avdelingen.

Organisasjoner som styrker sikkerheten i dag, vil stå bedre rustet mot fremtidige trusler. De som utsetter tiltakene, kan derimot møte økende og unødvendige sikkerhetsrisikoer.


0 responses to “Global kampanje retter angrep mot WordPress- og Joomla-nettsteder”