Australiens Cyber Security Centre (ACSC) varnar organisationer för en kampanj som utnyttjar CMS-plattformar och riktar in sig på webbplatser som bygger på populära innehållshanteringssystem.

Enligt myndigheten skannar angripare aktivt efter sårbara webbplatser och utnyttjar brister i CMS-plattformar och tillägg för att installera webbskal. När ett webbskal väl har installerats får angriparna fjärråtkomst till den komprometterade webbservern.

Kampanj riktar in sig på flera CMS-plattformar

ACSC uppger att angriparna utnyttjar sårbarheter som möjliggör filuppladdningar utan autentisering, fjärrkörning av kod (RCE), server-side request forgery (SSRF) och osäker deserialisering.

Kampanjen riktar sig främst mot WordPress och tillägget Joomla Content Editor (JCE).

Forskare har även observerat attacker mot:

  • Craft CMS
  • MaxSite CMS
  • MetInfo CMS
  • Sneeit Framework

Genom att utnyttja dessa sårbarheter kan angriparna installera webbskal utan att behöva giltiga inloggningsuppgifter.

Webbskal ger angripare fjärråtkomst

När ett webbskal har installerats kan angriparna fjärrstyra den drabbade servern.

De kan slå ut webbplatser, ändra innehåll med politiska budskap, stjäla känslig eller personlig information, ladda upp ytterligare skadlig kod eller använda den komprometterade servern som en språngbräda för att attackera andra system i nätverket.

ACSC uppger att många små och medelstora företag i Australien redan har drabbats.

Kampanjen är dock inte begränsad till Australien. Enligt myndigheten har även organisationer i andra delar av världen utsatts.

ACSC varnar för kortare tid att täppa till sårbarheter

Enligt ACSC visar kampanjen hur snabbt angripare utnyttjar nyupptäckta sårbarheter.

Organisationer har nu allt mindre tid på sig att installera säkerhetsuppdateringar innan hotaktörer börjar söka efter sårbara system.

Myndigheten rekommenderar att granska webbserverloggar, åtkomstloggar och nätverkstrafik för att upptäcka tecken på obehörig åtkomst.

Säkerhetsteam bör även kontrollera användarkonton och återställa en ren säkerhetskopia om de hittar bevis på en kompromettering.

Organisationer bör uppdatera och övervaka sina system

ACSC uppmanar administratörer att se till att både CMS-plattformen och alla installerade tillägg hålls fullt uppdaterade.

Myndigheten rekommenderar även att:

  • Begränsa åtkomsten till känsliga filer och kataloger.
  • Övervaka eller blockera obehörig skapande av filer.
  • Hålla uppsikt över oväntade processer på webbservrar.
  • Införa nätverkssegmentering där det är möjligt.

Dessa åtgärder kan minska konsekvenserna av framgångsrika attacker och göra det svårare för angripare att röra sig vidare i interna nätverk.

AI väntas öka cyberhoten

Varningen kommer kort efter att underrättelsemyndigheter i Australien, Kanada, Nya Zeeland, Storbritannien och USA publicerat en gemensam rådgivning.

Myndigheterna bedömer att framsteg inom artificiell intelligens sannolikt kommer att öka både hastigheten och omfattningen av cyberoperationer.

De betonar också att cyberresiliens numera är en affärskritisk fråga och inte enbart ett ansvar för IT-avdelningen.

Organisationer som stärker sitt skydd redan i dag kommer att stå bättre rustade inför framtida hot. De som väntar riskerar däremot att möta växande och onödiga säkerhetsrisker.


0 svar till ”Global kampanj utnyttjar WordPress- och Joomla-sajter”