Australiens Cyber Security Centre (ACSC) advarer organisationer om en kampagne, der udnytter CMS-platforme og rammer websites, som er bygget på populære content management-systemer.
Ifølge myndigheden scanner angribere aktivt efter sårbare websites og udnytter sårbarheder i CMS-platforme og plugins til at installere webshells. Når en webshell er installeret, får angriberne fjernadgang til den kompromitterede webserver.
Kampagne rammer flere CMS-platforme
ACSC oplyser, at angriberne udnytter sårbarheder, der gør det muligt at uploade filer uden autentificering, udføre fjernkode (RCE), gennemføre server-side request forgery (SSRF) og udnytte usikker deserialisering.
Kampagnen retter sig primært mod WordPress og udvidelsen Joomla Content Editor (JCE).
Forskere har også observeret angreb mod:
- Craft CMS
- MaxSite CMS
- MetInfo CMS
- Sneeit Framework
Ved at udnytte disse sårbarheder kan angriberne installere webshells uden gyldige loginoplysninger.
Webshells giver angriberne fjernadgang
Når en webshell er installeret, kan angriberne fjernstyre den berørte server.
De kan tage websites offline, ændre indhold med politiske budskaber, stjæle følsomme eller personlige oplysninger, uploade yderligere malware eller bruge den kompromitterede server som springbræt til at angribe andre systemer på netværket.
ACSC oplyser, at mange små og mellemstore virksomheder i Australien allerede er blevet ramt.
Kampagnen er dog ikke begrænset til Australien. Myndigheden siger, at organisationer verden over også er blevet mål for angrebene.
ACSC advarer om kortere tid til at lukke sårbarheder
Ifølge ACSC viser kampagnen, hvor hurtigt angribere udnytter nyopdagede sårbarheder.
Organisationer har nu mindre tid til at installere sikkerhedsopdateringer, før trusselsaktører begynder at scanne efter sårbare systemer.
Myndigheden anbefaler at gennemgå webserverlogfiler, adgangslogfiler og netværksaktivitet for tegn på uautoriseret adgang.
Sikkerhedsteams bør også kontrollere brugerkonti og gendanne en ren sikkerhedskopi, hvis de finder tegn på kompromittering.
Organisationer bør opdatere og overvåge deres systemer
ACSC opfordrer administratorer til at sikre, at både CMS-platformen og alle installerede plugins holdes fuldt opdaterede.
Myndigheden anbefaler desuden at:
- Begrænse adgangen til følsomme filer og mapper.
- Overvåge eller blokere uautoriseret oprettelse af filer.
- Holde øje med uventede processer på webservere.
- Indføre netværkssegmentering, hvor det er muligt.
Disse tiltag kan begrænse konsekvenserne af vellykkede angreb og gøre det sværere for angriberne at bevæge sig videre gennem interne netværk.
AI forventes at øge cybertruslerne
Advarslen kommer kort efter, at efterretningstjenester i Australien, Canada, New Zealand, Storbritannien og USA udsendte en fælles vejledning.
Myndighederne vurderer, at fremskridt inden for kunstig intelligens sandsynligvis vil øge både hastigheden og omfanget af cyberoperationer.
De understreger også, at cyberrobusthed nu er en forretningskritisk prioritet og ikke blot et ansvar for IT-afdelingen.
Organisationer, der styrker deres forsvar i dag, vil være bedre rustet mod fremtidige trusler. De, der venter, risikerer derimod at stå over for voksende og unødvendige sikkerhedsrisici.


0 svar til “Global kampagne retter angreb mod WordPress- og Joomla-websteder”