Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Как минимум две хак-группы эксплуатируют опасные уязвимости в плагинах для WordPress

22/03/19

Wordpress brokenСразу несколько компаний, работающих в сфере информационной безопасности, предупредили, что как минимум две хакерские группировки эксплуатируют уязвимости в популярных плагинах для WordPress. В частности, баги применяются для создания на сайтах административных аккаунтов (которые затем играю роль бэкдоров) и перенаправления посетителей на вредоносные ресурсы.

Так, уязвимость нулевого дня была обнаружена в плагине Easy WP SMTP, насчитывающем более 300 000 установок. Первыми уязвимость и атаки на нее заметили специалисты компании NinTechNet, разрабатывающей Ninja Firewall для WordPress. Они сообщили о баге авторам плагина, после чего его исправили в версии v1.3.9.1.

 

Впрочем, как сообщают эксперты компании Defiant, атаки это не остановило, так как администраторы многих сайтов по-прежнему не обновили плагин, а злоумышленники, похоже, стараются успеть скомпрометировать как можно больше ресурсов.

По данным исследователей, уязвимость связана с импортом/экспортом настроек, функцией, появившейся в Easy WP SMTP в версии 1.3.9. Злоумышленники обнаружили, что через эту функциональность можно модифицировать настройки сайта в целом, а не только настройки самого плагина. Это позволяет преступникам открыть на уязвимом ресурсе регистрацию новых пользователей и создать учетную запись уровня subscriber, но присвоить ей права администратора.

В настоящее время проблему эксплуатируют как минимум две хакерские группы, которые даже успели уже сменить тактику: вначале преступники вносили поправки в настройку wp_user_roles, а затем переключились на default_role. В результате все новые аккаунты получают права администратора. Обе группы  используют один и тот же proof of concept эксплоит, описанный в отчете специалистов NinTechNet.

Эксперты Defiant отмечают, что поведение хак-групп сильно разливается: одна группировка лишь создает на сайтах бэкдор-аккаунты и после этого пока не предпринимает никаких действий, тогда как вторая группировка действует более агрессивно и перенаправляет весь трафик со взломанных ресурсов на сайты фальшивой техподдержки.

Еще одна уязвимость, уже находящаяся под атакой, была найдена в плагине Social Warfare, установленном на 70 000 сайтов. О проблеме предупредили эксперты Wordfence, Sucuri и NinTechNet: баг представляет собой называемую stored XSS, то есть «хранимую» или «постоянную» XSS-уязвимость. При помощи этой уязвимости злоумышленники могут внедрить вредоносный код JavaScript в кнопки для  публикации ссылок в социальных сетях, представленные на страницах сайта. В итоге жертва оказывается перенаправлена на вредоносный ресурс.

Опасный плагин пришлось временно исключить из официального репозитория WordPress, но в настоящее время уже была выпущена исправленная версия Social Warfare  3.5.3, обновиться до которой администраторам рекомендуется как можно скорее.

Темы:WordPressПреступленияDefiant
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...