image

Let’s Encrypt-logs vermoedelijk gebruikt voor infecteren WordPress-installaties

dinsdag 12 april 2022, 11:24 door Redactie, 4 reacties

De afgelopen weken wisten aanvallers meerdere schone WordPress-installaties met malware te infecteren, waarbij ze vermoedelijk logs of informatie van certificaatautoriteit Let's Encrypt gebruikten. Na de installatie van WordPress moet die nog worden geconfigureerd. Het gebeurt al lange tijd dat aanvallers erin slagen om nog niet geconfigureerde WordPress-installaties te kapen.

"Dit kan omdat WordPress geen beperkingen voor het configureren kent zodra de bestanden op de website zijn geladen kun je die met een database op een andere server configureren, zodat je geen toegang tot bestaande inloggegevens voor de website hoeft te hebben", stelt securitybedrijf White Fir Design. In de meeste gevallen zullen mensen na de installatie van WordPress die ook meteen configureren.

De afgelopen weken verschenen echter meerdere meldingen van WordPress-gebruikers die stelden dat hun installatie werd geïnfecteerd kort na het aanvragen van een tls-certificaat voor hun website bij Let's Encrypt. Let's Encrypt is een certificaatautoriteit die gratis tls-certificaten uitgeeft die zijn te gebruiken voor het opzettten van een beveiligde verbinding en het identificeren van de website.

Let's Encrypt maakt gebruik van Certificate Transparency (CT), een systeem dat de uitgifte van tls-certificaten logt en monitort. Hiervoor slaat Let's Encrypt alle uitgegeven certificaten in CT-logs op. Het vermoeden is nu dat aanvallers deze CT-logs continu bekijken om zo WordPress-websites te vinden die nog niet zijn geconfigureerd. De aanvallers configureren deze websites en voegen een malafide script toe. Het gaat om een webshell waarmee aanvallers op afstand code kunnen uitvoeren. De gecompromitteerde WordPress-sites worden vervolgens voor het uitvoeren van ddos-aanvallen gebruikt.

Reacties (4)
12-04-2022, 15:44 door Anoniem
Dat verklaart een hoop. Ik had laatst een blanco server (vps) opgetuigd en alleen nog maar een dns record voor gemaakt en lets encrypt gedraaid.
Binnen 5 minuten kreeg ik al queries terwijl er geeneens wp op draaide.
Ze gaan er gewoon vanuit dat met hagel schieten werkt.
12-04-2022, 15:45 door WPbeveiligen
Dat is een goed begin! Nog voordat je zelf ingelogd bent al gehackt worden..

"De aanvallers configureren deze websites" dat betekent dus dat je direct niet meer in kunt loggen omdat ze een username en password kiezen.

Ik heb in het verleden honderden websites opgezet, en hoewel ik er altijd vanuit ging dat vrijwel niemand die nieuwe domeinnaam bezocht maakte ik de installatie altijd direct af.
En daarna configureerde ik de beveiliging. (iThemes Security OF WordFence).
12-04-2022, 18:17 door Anoniem
Door WPbeveiligen:
"De aanvallers configureren deze websites" dat betekent dus dat je direct niet meer in kunt loggen omdat ze een username en password kiezen.
Toevallig heb ik een kennis geholpen die hier ook door getroffen was en dat deden ze dus in dit geval niet.
Ze plaatsen alleen die .query.php file wat een backdoor (webshell) is. Waarmee ze je server voor DDoS
gebruiken. Ik heb na veel zoekwerk geen enkele aanwijzing gevonden dat ze nog meer met de machine uithalen.
(wat ook lastig is omdat de webserver uiteraard onder een restricted user draait en niet zomaar overal files mag openen)
Maar zelf kun je dus nog gewoon inloggen en je site opzetten.
12-04-2022, 18:44 door MartijnKaterbarg
Vermoedelijk gaat het hierbij niet alleen om Let's Encrypt-logs, maar om alle CT logs. Alle publiek uitgegeven SSL Certificaten worden in meerdere CT logs toegevoegd, van elke publiek vertrouwde CA.

Overzicht verschillende CT Logs: https://crt.sh/monitored-logs
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.