CVE-2018-9206 был злонамеренно использован, что несколько сайтов были связаны со страницей поиска, чтобы перейти на сайт ставок

01 Ноя. 2018 г.Elley
Подробнее о 360 Total Security

В последнее время 360 Security Center получили несколько веб-мастеров за помощь в том, что когда веб-сайт открывается поисковой системой, он перейдет на сайт онлайн-ставок. После анализа было обнаружено, что код jQuery, используемый веб-сайтом, был подвергнут злостному подделке. Дальнейший анализ показал, что многие сайты были использованы из-за наличия любой уязвимости загрузки файлов (CVE-2018-9206) в старой версии плагина jQuery-File-Upload в CMS.

Blueimp jQuery-File-Upload — широко используемый многоязычный инструмент для загрузки файлов, который включает в себя выбор файлов, перетаскивание файлов, отображение индикаторов выполнения и предварительный просмотр изображений. Blueimp jQuery-File-Upload 9.22.0 и более ранних версий, появилась недавняя уязвимость загрузки файлов (CVE-номер: CVE-2018-9206), см. Http://cve.mitre.org/cgi-bin/ Cvename.cgi? Name = CVE-2018-9206). Удаленный злоумышленник может использовать уязвимость для выполнения кода.

Плагин является вторым по популярности проектом jQuery на GitHub (с ветвями 7844 и Star 29320), уступая только рамке jQuery. Он был интегрирован в сотни других проектов, таких как CMS, CRM, интранет-решения, плагины WordPress, дополнения Drupal, CKEditor (также интегрированные в DeDeCMS), компоненты Joomla и многое другое.

CVE-2018-9206 was maliciously exploited that multiple websites were linked to the search page to jump to the betting site

Анализ

CVE-2018-9206 was maliciously exploited that multiple websites were linked to the search page to jump to the betting site

Сообщение безопасности в проекте (https://github.com/blueimp/jQuery-File-Upload) в Github: уязвимость CVE-2018-9206 влияет на версию, выпущенную до октября 2018 года:

CVE-2018-9206 was maliciously exploited that multiple websites were linked to the search page to jump to the betting site

Анализ показал, что хвост файла библиотеки jQuery такой загрузки с диска был дополнительно вставлен в обфускационный код. После восстановления запутанного кода содержимое: определяет, является ли исходная страница сайта Baidu или google. Yahoo, bing, sogou, 360 search (so.), Youdao, jike, anquan, 360 navigation (360.cn), если да, он будет вставлять кусок рекламного кода hxxps://s5[.]Cnzz [.]biz/robots.php

The CVE-2018-9206 vulnerability affects the version released before October 2018:

Содержимое скрипта в файле robots.php показано ниже: Основная функция — перетащить родительскую страницу текущей страницы (например, страницу поиска) на сайт ставок: hxxp://www[.]b733[.]Xyz:2682/w.html

CVE-2018-9206 was maliciously exploited that multiple websites were linked to the search page to jump to the betting site

55bbs также вставляется в обфускационный рекламный код. После обфускации функция рекламного кода состоит в том, чтобы автоматически копировать часть красного конверта Alipay на основе пароля, чтобы заработать рекламные объявления.

CVE-2018-9206 was maliciously exploited that multiple websites were linked to the search page to jump to the betting site

На следующем рисунке показан код JS, связанный с мобильным устройством, прыгающим на веб-сайт:

CVE-2018-9206 was maliciously exploited that multiple websites were linked to the search page to jump to the betting site

Заключение
Уязвимость была использована, и злоумышленник мог использовать эту уязвимость для загрузки вредоносных js-файлов на сервер, даже бэкдоров и веб-оболочки. Поэтому рекомендуется использовать веб-мастер CMS для загрузки плагина jQuery-File-Upload для обновления до новой версии этой уязвимости, чтобы избежать атак на веб-сайт или сервер.

Подробнее о 360 Total Security