Περιστατικό Ασφαλείας: Παραβιασμένο Σενάριο που Σερβιρίστηκε μέσω PushEngage

Τελευταία ενημέρωση στις από Rakesh
LinkedIn

Σύνοψη

Ανταποκρινόμαστε σε ένα περιστατικό ασφαλείας που επηρεάζει το PushEngage. Ένας εισβολέας απέκτησε πρόσβαση σε ένα διαπιστευτήριο για το δίκτυο παράδοσης περιεχομένου (CDN) και το χρησιμοποίησε για να παραδώσει μια αλλοιωμένη έκδοση του αρχείου JavaScript που αυτά τα προϊόντα παραδίδουν στους ιστότοπους πελατών. Για ένα περιορισμένο χρονικό διάστημα, οι ιστότοποι που ενσωματώνουν το σενάριό μας φόρτωσαν αυτό το τροποποιημένο αρχείο απευθείας από το CDN μας.

Ο κακόβουλος κώδικας ενεργοποιήθηκε μόνο για συνδεδεμένους διαχειριστές του WordPress. Όταν εκτελέστηκε σε έναν επηρεαζόμενο ιστότοπο, προσπάθησε να δημιουργήσει έναν κρυφό λογαριασμό διαχειριστή και να εγκαταστήσει ένα κρυφό πρόσθετο backdoor, στη συνέχεια έστειλε δεδομένα σε έναν διακομιστή που ελέγχεται από εισβολέα. Οι απλοί επισκέπτες του ιστότοπου δεν στοχοποιήθηκαν, αλλά επειδή ο κώδικας μπορεί να παραδώσει τον έλεγχο ενός ιστότοπου σε έναν εισβολέα, κάθε επηρεαζόμενος ιστότοπος πρέπει να αντιμετωπίζεται ως παραβιασμένος.

Εύρος – τι επηρεάστηκε και τι όχι: 

Οι διακομιστές εφαρμογών μας, ο πηγαίος κώδικάς μας και τα συστήματα που αποθηκεύουν τις πληροφορίες λογαριασμού σας PushEngage φιλοξενούνται ξεχωριστά και δεν παραβιάστηκαν. Δεν έχουμε στοιχεία ότι τα δεδομένα λογαριασμού ή οι προσωπικές λεπτομέρειες που τηρούμε προσπελάστηκαν. Η παραβίαση περιορίστηκε στον διακομιστή του μάρκετινγκ ιστοτόπου μας και, μέσω ενός κλειδιού API CDN που ήταν αποθηκευμένο σε αυτόν, στον λογαριασμό CDN μας. Σημαντικό είναι ότι αυτό δεν μειώνει την επείγουσα ανάγκη για τους επηρεαζόμενους ιδιοκτήτες ιστότοπων: το αρχείο που παραδόθηκε στον ιστότοπό σας αλλοιώθηκε, γι' αυτό τα παρακάτω βήματα εξακολουθούν να έχουν σημασία εάν βρισκόσασταν στο παράθυρο έκθεσης.

Ποιος πρέπει να ενεργήσει τώρα: Εάν ο ιστότοπός σας είχε ενεργό το PushEngage και ένας διαχειριστής ήταν συνδεδεμένος κατά τη διάρκεια του παραθύρου έκθεσης παρακάτω, παρακαλούμε αντιμετωπίστε τον ιστότοπό σας ως παραβιασμένο και ακολουθήστε αμέσως τις οδηγίες [Τι να ελέγξετε και τι να κάνετε](#what-to-check-and-do). Οι πιο αξιόπιστοι έλεγχοι γίνονται στον διακομιστή σας, όχι στον πίνακα ελέγχου του WordPress.

Παράθυρο έκθεσης

Με βάση τα αρχεία καταγραφής του παρόχου CDN μας, η μη εξουσιοδοτημένη διαμόρφωση με αλλοιωμένα αρχεία ήταν σε ισχύ για περίπου αρκετές ώρες στις 12 Ιουνίου 2026 (UTC). Για ένα υποσύνολο χρηστών, συνέχισε να παραδίδεται έως τις 14 Ιουνίου (UTC) από ορισμένες τοποθεσίες ακμών του CDN. Συνεχίζουμε να επιβεβαιώνουμε την ακριβή περίοδο κατά την οποία παραδόθηκε το επηρεαζόμενο περιεχόμενο και θα ενημερώσουμε αυτήν την ειδοποίηση καθώς επαληθεύονται πρόσθετες λεπτομέρειες.

Μόνο οι ιστότοποι που φόρτωσαν το επηρεαζόμενο σενάριο με συνδεδεμένο διαχειριστή κατά τη διάρκεια αυτού του παραθύρου θα μπορούσαν να έχουν παραβιαστεί.

Τα επηρεαζόμενα αρχεία ήταν τα τυπικά σενάρια ενσωμάτωσης που παραδόθηκαν από:

Τι συνέβη

Ένας εισβολέας εκμεταλλεύτηκε μια γνωστή ευπάθεια σε ένα πρόσθετο τρίτου μέρους του WordPress (UpdraftPlus) για να αποκτήσει πρόσβαση στον διακομιστή που φιλοξενεί τον ιστότοπο μάρκετινγκ μας. Αυτός ο διακομιστής είναι εντελώς ξεχωριστός: διαφορετικός κεντρικός υπολογιστής, διαφορετική υποδομή από τους διακομιστές εφαρμογών που εκτελούν το PushEngage και που αποθηκεύουν δεδομένα πελατών.

Στον διακομιστή μάρκετινγκ, ο εισβολέας εντόπισε ένα κλειδί API για τον λογαριασμό μας στο CDN. Χρησιμοποιώντας αυτό το κλειδί, δεν χρειάστηκε καθόλου να αγγίξει την πηγή της εφαρμογής μας. Τροποποίησαν τα αρχεία που εξυπηρετούσε το CDN μας, έτσι ώστε το παραποιημένο σενάριο να παραδοθεί σε ιστότοπους που το ενσωμάτωναν για περιορισμένο χρονικό διάστημα πριν εντοπίσουμε και αναιρέσουμε την αλλαγή.

Έκτοτε, έχουμε αποκαταστήσει τον ιστότοπο μάρκετινγκ, τον μεταφέραμε σε νέο διακομιστή και αναδιατάξαμε όλα τα διαπιστευτήρια, συμπεριλαμβανομένου του κλειδιού API του CDN.

Τι έκανε ο κακόβουλος κώδικας

Σε έναν επηρεαζόμενο ιστότοπο, όταν ένας συνδεδεμένος διαχειριστής φόρτωσε μια σελίδα, ο κώδικας προσπάθησε να:

  1. Επιβεβαίωσε ότι εκτελούνταν σε περιβάλλον διαχειριστή WordPress και, στη συνέχεια, συνέλεξε τα διακριτικά ασφαλείας που απαιτούνταν για να ενεργήσει ως αυτός ο διαχειριστής.
  2. Δημιουργήσει έναν κρυφό λογαριασμό διαχειριστή. Οι γνωστές λογαριασμοί περιλαμβάνουν τον developer_api1 ([email protected]) και τυχαιοποιημένους λογαριασμούς της μορφής dev_xxxxxx.
  3. Εγκαταστήσει ένα πρόσθετο που κρύβεται μόνο του, το οποίο αποκρύπτεται από τον πίνακα ελέγχου και εκθέτει ένα μη πιστοποιημένο web shell και ένα τελικό σημείο εκτέλεσης κώδικα — παρέχοντας ουσιαστικά πλήρη έλεγχο του ιστότοπου.
  4. Στείλει τα νέα διαπιστευτήρια και τις λεπτομέρειες του ιστότοπου σε έναν διακομιστή που ελέγχεται από τον εισβολέα.

Επειδή το backdoor κρύβεται από τις οθόνες διαχειριστή του WordPress, μόνο ο πίνακας ελέγχου δεν θα σας πει αν έχετε επηρεαστεί. Οι αξιόπιστοι έλεγχοι βρίσκονται στο σύστημα αρχείων του διακομιστή και μέσω μιας σάρωσης από την πλευρά του διακομιστή.

Τι να ελέγξετε και τι να κάνετε

Εάν είχατε το PushEngage ενεργό στον ιστότοπό σας ΚΑΙ ένας διαχειριστής συνδέθηκε στον ιστότοπό σας WordPress κατά τη διάρκεια του παραθύρου έκθεσης, κάντε τα εξής το συντομότερο δυνατό. Εάν δεν είστε σίγουροι εάν ένας διαχειριστής ήταν συνδεδεμένος, είναι ασφαλέστερο να ελέγξετε.

  1. Καταργήστε τους δόλιους λογαριασμούς διαχειριστή. Αναζητήστε τον developer_api1 / [email protected] και τυχόν απροσδόκητους λογαριασμούς dev_xxxxxx και διαγράψτε τους.
  1. Ελέγξτε το σύστημα αρχείων – όχι μόνο τον πίνακα ελέγχου – για το πρόσθετο backdoor. Κάτω από το wp-content/plugins, αναζητήστε το content-delivery-helper (“Content Delivery Helper”) ή το database-optimizer (“Database Optimizer”). Η μεταμφίεση περιστρέφεται, οπότε εμπιστευτείτε αυτό που υπάρχει στον δίσκο αντί για αυτό που δείχνει ο πίνακας ελέγχου. Καταργήστε ό,τι βρείτε.
  1. Εκτελέστε μια σάρωση κακόβουλου λογισμικού από την πλευρά του διακομιστή. Επειδή το payload εκτελέστηκε μόνο για συνδεδεμένους διαχειριστές, οι έλεγχοι από τον πίνακα ελέγχου και από την πλευρά του πελάτη είναι αναξιόπιστοι· μια σάρωση από την πλευρά του διακομιστή είναι ο πιο αξιόπιστος τρόπος για να βρείτε το backdoor ή οποιεσδήποτε περαιτέρω αλλαγές.
  1. Εάν βρείτε οποιαδήποτε ένδειξη παραπάνω, υποθέστε πλήρη παραβίαση και αναδιατάξτε τα πάντα: κωδικούς πρόσβασης διαχειριστή, κλειδιά εφαρμογής/API, διαπιστευτήρια βάσης δεδομένων και τα κλειδιά ασφαλείας/salts του WordPress στο wp-config.php. Το backdoor επέτρεψε αυθαίρετη εκτέλεση κώδικα, οπότε μπορεί να υπάρχει επιπλέον επιμονή.

Εάν δεν βρείτε καμία από αυτές τις ενδείξεις και κανένας διαχειριστής δεν ήταν συνδεδεμένος κατά τη διάρκεια του παραθύρου, ο ιστότοπός σας είναι πολύ πιθανό να μην έχει επηρεαστεί και δεν απαιτείται καμία ενέργεια πέρα από την τυπική υγιεινή (ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων, διατήρηση ενημερωμένου λογισμικού).

Τι έχουμε κάνει μέχρι στιγμής

  • Εντοπίσαμε την παραποίηση και αναιρέσαμε αμέσως τα επηρεαζόμενα αρχεία CDN· εκκαθαρίσαμε την κρυφή μνήμη του CDN ώστε να εξυπηρετούνται καθαρά αρχεία.
  • Ακυρώσαμε και αναδιατάξαμε το κλειδί API του CDN και όλα τα σχετικά διαπιστευτήρια.
  • Επισκευάσαμε τον παραβιασμένο ιστότοπο μάρκετινγκ και τον μεταφέραμε σε νέο διακομιστή σε ξεχωριστή υποδομή.
  • Επιβεβαιώσαμε ότι οι διακομιστές εφαρμογών μας, ο πηγαίος κώδικας και τα συστήματα δεδομένων πελατών που βρίσκονται σε ξεχωριστή υποδομή δεν παρουσιάζουν κανένα στοιχείο πρόσβασης.
  • Εμπλέξαμε την ομάδα ασφαλείας μας και συνεργαζόμαστε με τον πάροχο CDN μας για να λάβουμε αρχεία καταγραφής παράδοσης.

Κατάσταση και συνεχιζόμενος κίνδυνος

Η διαμόρφωση του CDN μας έχει διορθωθεί και τα παραποιημένα αρχεία έχουν αφαιρεθεί, τα επηρεαζόμενα διαπιστευτήρια έχουν αλλάξει και το σημείο εισόδου στον διακομιστή μάρκετινγκ έχει αποκατασταθεί. 

Η αποκατάσταση των συστημάτων μας δεν καθαρίζει έναν ιστότοπο που έχει ήδη παραβιαστεί. Εάν ο ιστότοπός σας επηρεάστηκε κατά τη διάρκεια του παραθύρου έκθεσης, ο κακόβουλος λογαριασμός διαχειριστή και το κρυφό πρόσθετο backdoor παραμένουν στη θέση τους μέχρι να τα αφαιρέσετε χρησιμοποιώντας τα παραπάνω βήματα. Συνιστούμε να ενεργήσετε άμεσα. Θα ενημερώσουμε αυτήν τη σελίδα εάν προκύψουν πρόσθετες σχετικές πληροφορίες.

Ενδείξεις παραβίασης

Για ιδιοκτήτες ιστότοπων και ομάδες ασφαλείας:

Κακόβουλοι λογαριασμοί:

  • developer_api1 / [email protected]      (λογαριασμός χειριστή που διορθώθηκε)
  • dev_xxxxxx / [email protected]            (τυχαίοι λογαριασμοί)

Μεταμφιέσεις προσθέτων Backdoor (εναλλαγή, ελέγξτε το σύστημα αρχείων):

  • content-delivery-helper   “Βοηθός Παράδοσης Περιεχομένου”   v2.7.1
  • database-optimizer        “Βελτιστοποιητής Βάσης Δεδομένων”         v2.9.4

Υποδομή επιτιθέμενου:

  • tidio.cc   (παρόμοιο όνομα τομέα — ΟΧΙ το νόμιμο tidio.com)

Μοναδικές συμβολοσειρές:

  • jX9kM2nP4qR6sT8v            (κλειδί κρυπτογράφησης που χρησιμοποιείται από το κακόβουλο λογισμικό)
  • WPM File Manager & Shell    (διεπαφή κελύφους backdoor)

Επικοινωνία

Εάν έχετε ερωτήσεις, χρειάζεστε βοήθεια για τον έλεγχο του ιστότοπού σας ή παρατηρήσετε οτιδήποτε ασυνήθιστο, επικοινωνήστε μαζί μας στο [email protected]. Δίνουμε προτεραιότητα στα ερωτήματα που σχετίζονται με περιστατικά και θα διατηρούμε αυτήν τη σελίδα ενημερωμένη.

Η προστασία των πελατών μας είναι προτεραιότητα για εμάς. Κατανοούμε ότι αυτό το περιστατικό μπορεί να είναι ανησυχητικό και λυπούμαστε για οποιαδήποτε διαταραχή έχει προκαλέσει. Οι παραπάνω πληροφορίες αντικατοπτρίζουν την έρευνά μας μέχρι σήμερα και θα ενημερώσουμε αυτήν τη σελίδα καθώς επιβεβαιώνονται πρόσθετες λεπτομέρειες.

Προσθήκη Σχολίου

Χαιρόμαστε που επιλέξατε να αφήσετε ένα σχόλιο. Λάβετε υπόψη ότι όλα τα σχόλια ελέγχονται σύμφωνα με την πολιτική απορρήτου μας, και όλοι οι σύνδεσμοι είναι nofollow. ΜΗΝ χρησιμοποιείτε λέξεις-κλειδιά στο πεδίο του ονόματος. Ας έχουμε μια προσωπική και ουσιαστική συζήτηση.

Προσέλκυση και Διατήρηση Επισκεπτών Αφού Φύγουν από τον Ιστότοπό σας

Αυξήστε την αξία κάθε επίσκεψης στον ιστότοπο με Ειδοποιήσεις Push που είναι δύσκολο να αγνοηθούν.

Δοκιμάστε το PushEngage
  • Δωρεάν Πρόγραμμα για Πάντα
  • Εύκολη Εγκατάσταση
  • Υποστήριξη 5 Αστέρων

Περισσότερες από 100 δισεκατομμύρια ειδοποιήσεις που έχουν σταλεί

100% Ασφαλές και Συμβατό με τον GDPR

Εμπιστευμένο από πελάτες σε 150+ χώρες