19/05/22
Злоумышленники массово используют уязвимость удаленного выполнения кода в WordPress-плагине Tatsu Builder, который установлен примерно на 100 000 сайтов. Tatsu Builder – это популярный плагин, который предлагает мощные инструменты редактирования шаблонов, интегрированные прямо в веб-браузер.
По оценкам специалистов, до 50 000 сайтов все еще используют уязвимую версию плагина, хотя патч с исправлением был доступен с начала апреля. Первые массированные атаки начались 10 мая 2022 года и достигли своего пика через четыре дня.
Уязвимость CVE-2021-25094 позволяет удаленному злоумышленнику выполнять произвольный код на серверах с устаревшей версией плагина (устаревшими считаются все сборки до 3.3.12). Уязвимость была обнаружена независимым исследователем Мишелем Винсентом, который публично заявил о ней 28 марта 2022 года и выложил код проверки концепции эксплоита. Разработчик плагина исправил уязвимость в версии 3.3.13 и 7 апреля 2022 года призвал пользователей как можно скорее применить исправление безопасности.
Компания Wordfence предлагает решения для обеспечения безопасности плагинов WordPress и отслеживает текущие атаки. По оценкам исследователей, от 20 000 до 50 000 сайтов используют уязвимую версию Tatsu Builder. Wordfence сообщает, что 14 мая 2022 года остановила 5,9 миллионов атак на своих клиентов. Спустя пару дней количество атак снизилось, но хакеры даже сейчас продолжают использовать уязвимость.
Атака проходит так: злоумышленники пытаются внедрить вредоносный дроппер под именем .sp3ctra_XO.php и MD5-хэшем 3708363c5b7bf582f8477b1c82c8cbf8 в подпапку каталога "wp-content/uploads/typehub/custom/" и сделать его скрытым файлом.
Wordfence сообщает , что более миллиона атак проводилось с трех IP-адресов: 148.251.183[.]254, 176.9.117[.]218 и 217.160.145[.]62. Специалисты рекомендуют пользователям плагина эти IP-адреса в черный список и обновить Tatsu Builder до версии 3.3.13, чтобы избежать риска атаки.
Ранее мы писали про уязвимость в другом WordPress-плагине Elementor. Она появилась в версии плагина 3.6.0 и затронула около 500 тысяч сайтов.
