• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:294

「歐盟個資法」GDPR(General Data Protection Regulation, 通用資料保護條例)旨在使公司更加關注客戶的個人資料。這包括收集已獲明確同意使用的資訊並保護其免受身份資料遭竊的侵害。

WP GDPR Compliance是一個允許WordPress網站所有者在其網站上添加複選框的套件。該複選框允許訪問者移交其資料，以授予網站所有者將其用於特定目的的權限，例如處理客戶訂單。它還允許訪問者請求網站擁有的資料的副本。

用戶使用admin-ajax.php發送這些請求，這是一個允許瀏覽器與WordPress伺服器連接的檔案，使用Ajax結合JavaScript和XML技術，以建立流暢的用戶界面。該系統首次出現在WordPress 3.6中，允許內容管理系統提供更好的自動保存和修訂跟蹤等功能。

GDPR套件還允許用戶透過admin-ajax.php進行配置，而卻因此允許攻擊者得以向其發送存儲和執行的惡意命令。用以觸發自己的WordPress作動。發現該漏洞的WordPress安全公司Wordfence表示，攻擊者正在以兩種方式利用漏洞。

首先，攻擊者透過允許新用戶註冊然後更改設置以自動使其成為管理員來建立管理帳戶。並且安裝一個惡意套件，用惡意軟體感染網站。據Wordfence報導，攻擊者正在使用這種方法安裝一個PHP Web shell，是一個在Web伺服器上提供遠程管理功能的腳本，為他們提供短點存取和檔案管理器。

在第二種攻擊中，攻擊者上傳一系列透過WP-Cron安排的腳本任務。 Cron是一個在Unix系統上處理作業的通用任務調度系統，而WP-Cron是WordPress處理計劃任務的方式。

這種攻擊比第一種攻擊更複雜，使用電子商務套件WooCommerce，這是WP GDPR Compliance支援的套件之一。駭客劫持WooCommerce函數來安裝另一個名為2MB Autocode的套件。該套件允許管理員將自己的PHP代碼注入WordPress帖子。

攻擊者使用此攻擊來注入從其他站點下載代碼的PHP後門腳本。 然後2MB自動編碼套件會自我刪除。

在這次攻擊中，Wordfence無法找到任何明顯的可執行有效payload，但表示攻擊者可能正在建立一系列網站並假以時日付諸實施：

這些攻擊者可能正在囤積受感染的主機，將其打包並批發出售給其他有意圖的有心人士。這些攻擊者也有可能有自己確實的目標，但尚未發起攻擊階段。

在 Wordpress 安全團隊從Wordpress 目錄中刪除外掛程式後, 外掛程式開發者修復漏洞後，Wordpress團隊再次公開。

但是，有些用戶來不及更新他們的系統。在發佈套件的支援論壇上可以看到災情，部分因不夠快速更新而受到了WP GDPR Compliance Plugin hack的攻擊。導致網站關閉出現HTTP錯誤500，或是有的網站被新增名為t2trollherten和t3trollherten管理者帳號等事件。

參考連結：

https://nakedsecurity.sophos.com/2018/11/13/wordpress-gdpr-compliance-plugin-hacked/
https://wordpress.org/support/topic/recovery-after-hack/
https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/
https://www.wordfence.com/blog/2018/11/trends-following-vulnerability-in-wp-gdpr-compliance-plugin/