27/04/24
Плагин WP Automatic, установленный более чем на 30 000 сайтах, позволяет администраторам автоматизировать импорт контента (тексты, изображения, видео) из различных источников для публикации на сайте WordPress, пишет Securitylab.
Уязвимость SQL-инъекции CVE-2024-27956 (оценка CVSS: 9.9) затрагивает версии WP Automatic до 3.9.2.0. Ошибка была обнародована 13 марта исследователями из PatchStack.
Проблема заключается в механизме аутентификации пользователей плагина, который можно обойти, чтобы отправлять SQL-запросы к базе данных сайта. Злоумышленники используют специально подготовленные запросы для создания учетных записей администратора на целевом сайте.
С момента публикации информации об уязвимости, служба WPScan от Automattic зафиксировала более 5,5 млн. попыток атак, большинство из которых приходится на 31 марта.
После получения административного доступа к сайту, атакующие создают бэкдоры и обфусцируют код, чтобы усложнить его обнаружение. Для предотвращения доступа других хакеров к сайту через ту же уязвимость и для избежания обнаружения, злоумышленники также переименовывают уязвимый файл в «csv.php».
При установлении контроля над сайтом, киберпреступники часто устанавливают дополнительные плагины, позволяющие загружать файлы и редактировать код.
WPScan предоставляет ряд индикаторов компрометации (IoC), которые могут помочь администраторам определить, был ли их сайт взломан. К признакам относятся наличие учетной записи администратора, начинающейся с «xtw», и файлы под названием web.php и index.php, которые являются бэкдорами, установленными в ходе недавней кампании.
Для минимизации риска взлома, исследователи рекомендуют администраторам сайтов WordPress обновить плагин WP Automatic до версии 3.92.1 или более поздней. Также рекомендуется регулярно создавать резервные копии сайта, чтобы в случае компрометации можно было быстро восстановить его из копии.
