A történet kiindulópontja kissé groteszk, mivel egy támadó csoport szerveréről származnak az információk. A támadók szervere három héten keresztül nyilvánosan elérhető volt, így a kutatók nem egy külső támadással jutottak hozzá az adatokhoz, hanem egyszerűen egy rosszul konfigurált infrastruktúrát találtak. (Ergo, még nem is voltak ügyesek a támadók…) Ez ritka lehetőséget adott arra, hogy belülről lássák egy ilyen kampány működését. Ezt követően a biztonsági kutatók részletes betekintést nyertek a WP-SHELLSTORM nevű művelet működésébe, amely automatizált támadásokkal több tízezer WordPress weboldalt fertőzött meg. Az incidens során a támadók saját infrastruktúrája vált elérhetővé, így naplók, célpontlisták, feltört weboldalak és támadóeszközök is napvilágra kerültek.

Amit megtudunk az információkból

Bár a rosszindulatú kampány elsősorban WordPress-oldalak ellen irányult, a támadók Joomla, valamint egyes Java-alapú webalkalmazások ismert sérülékenységeit is kihasználták. Ez arra utal, hogy a cél nem egyetlen CMS volt, hanem minden könnyen automatizálható, javítatlan rendszer feletti kontroll megszerzése.

A cél nem feltétlenül az volt, hogy azonnal károsítsák/tönkretegyék a megfertőzött weboldalakat. Sok esetben csak egy webshellt telepítettek, így tartós hozzáférést szereztek. Az ilyen hozzáféréseket később más bűnözőknek is értékesíthetik, vagy későbbi támadásokhoz használhatják fel.

Az elérhető szerveren nemcsak az eszközök voltak megtalálhatók, hanem aktivitási naplók, célpontlisták, sikeres és sikertelen támadások listái, valamint a telepített webshell-ek is. Ez lehetővé tette a kutatóknak, hogy rekonstruálják a teljes támadási láncot, mechanizmust.

Milyen aránnyal, mennyire hatékonyan támadtak?

A több mint 1,4 millió célpontból körülbelül 25 ezer kompromittált weboldalt azonosítottak. Ez nagyjából 1,8%-os sikerességi arány, ami jól mutatja, hogy a támadók „szórásos” módszerrel dolgoztak: rengeteg weboldalt próbáltak meg feltörni, és már néhány százalékos siker is elegendő számukra. Ez jól szemlélteti az automatizált tömeges támadások működését.

A legfontosabb számok

  • Több mint 1,4 millió weboldal szerepelt a támadók célpontlistáján.
  • A kutatók 25 195 kompromittált (fertőzött) weboldalt tudtak megerősíteni.
  • A támadók 27 ismert sérülékenységet használtak ki automatizált módon.
  • A sikeres fertőzések döntő többsége nem nulladik napi (zero-day) hibákon alapult, hanem már ismert, javítatlan sérülékenységeken.

Hogyan működött a támadás?

A WP-SHELLSTORM nem egyetlen sérülékenységet használt ki, hanem folyamatosan pásztázta az internetet olyan WordPress- és Joomla-oldalak után, amelyek elavult bővítményeket futtattak.

Sikeres támadás esetén:

  • feltöltöttek egy webshellt (hátsó kaput),
  • állandó hozzáférést szereztek a szerverhez,
  • majd később további káros kódokat vagy egyéb eszközöket telepítettek.

A kiszivárgott naplók alapján a teljes folyamat nagyrészt automatizált volt, egy kész rendszert építettek ki. A cél a tömeges pásztázás volt.

Melyik sérülékenység(ek) voltak?

Bár összesen 27 különböző hibát használtak, a legtöbb sikeres kompromittálás egyetlen kritikus WordPress-bővítmény hibájához köthető, a CVE-2026-3844 CVSS: 9,8 (kritikus) Breeze Cache bővítmény sebezhetősége volt.

A listáról még a népszerűbbek közül néhány: ThemeREX Addons (CVE-2026-1969), Simple File List (CVE-2020-36847), Custom CSS JS PHP (CVE-2026-6433), BerqWP (CVE-2025-7443), Ninja Forms uploads (CVE-2026-0740), WavePlayer (CVE-2025-12057), WPBookit (CVE-2025-7852), és WP File Manager (CVE-2020-25213).

A sérülékenységek lehetővé tették, hogy tetszőleges PHP fájl kerülhessen a szerverre, amely teljes weboldal-átvételhez vezethetett. Elég megnézni a sérülékenységi azonosítók elejét. Több mint 5 évvel vagy 1 évvel korábbi sebezhezőségek lettek kihasználva. Ez elég rossz hír, hogy ilyenek megtörténnek.

Mit árult el a kiszivárgott szerver?

A kutatók többek között megtalálták:

  • a támadók eszközkészletét,
  • a célpontlistákat,
  • a sikeres és sikertelen támadások naplóit,
  • feltöltött webshell-eket,
  • valamint különféle hitelesítő adatokat és felhőszolgáltatásokhoz tartozó hozzáféréseket.

A tanulság

A történet legfontosabb tanulsága, hogy a támadók nem új sérülékenységeket használtak, hanem olyan ismert hibákat, amelyekre már elérhető volt javítás.

Ha ezt a hír olvasod, akkor talán érdemes itt és most rászánnod magad egy biztonsági mentés készítésére és a frissítések elvégzésére.

Ez ismét megerősíti, hogy a legfontosabb alapszintű védekezési lépések:

  • a WordPress + Sablon + Bővítmények rendszeres frissítése,
  • a már nem használt bővítmények eltávolítása,
  • rendszeres biztonsági mentések készítése.

Az incidens jól mutatja, hogy egy nagyszabású, automatizált WordPress-fertőzési kampányhoz sokszor nincs szükség kifinomult, ismeretlen sérülékenységekre. Csak több tízezer elhagyott honlapra vagy lusta tulajdonosra.

A legtöbb kompromittált weboldal egyszerűen azért vált áldozattá, mert hónapokkal korábban javított bővítményhibák elérhetők voltak, mivel nem frissítették. A kiszivárgott szerver ritka betekintést adott abba, hogyan működik egy ilyen automatizált támadási infrastruktúra, és egyben emlékeztet arra, hogy a rendszeres karbantartás továbbra is a WordPress biztonságának egyik legfontosabb eleme.

Személyes véleményem, hogy így az AI korában már egyre könnyebben fognak készülni ilyen automatizált rosszindulatú, támadó rendszerek. Így a frissítés fontosságát nem győzzük hangsúlyozni.

Forrás: TheHackerNews.com (új ablakban nyílik meg)