0Day-уязвимости в плагинах для WordPress эксплуатируют сразу несколько группировок
Преступники используют баги для создания бэкдоров и перенаправления трафика со взломанных ресурсов.
Как минимум две киберпреступные группировки активно эксплуатируют уязвимости в популярных плагинах для WordPress. Злоумышленники используют баги для создания на сайтах учетных записей администратора, служащих в качестве бэкдоров, и перенаправления трафика со взломанных ресурсов. В частности, уязвимость нулевого дня была обнаружена в плагине Easy WP SMTP, аудитория которого превышает более 300 тыс. пользователей. Программа применяется для настройки SMTP на серверах. Первые атаки были замечены в минувшую пятницу специалистами компании NinTechNet. Хотя разработчик плагина выпустил исправленную версию v1.3.9.1, злоумышленники продолжили атаки в попытках взломать как можно больше сайтов, пока владельцы не установили обновление. По данным компании Defiant, в атаках эксплуатировалась функция настройки экспорта/импорта, представленная в Easy WP SMTP 1.3.9, для модификации общих настроек сайта, в частности, активации регистрации новых пользователей, которую многие владельцы отключают из соображений безопасности. Модифицировав опцию, управляющую разрешениями, преступники могли создать учетную запись уровня «Подписчик» (subscriber) с правами администратора.
Вначале атакующие вносили изменения в настройку «wp_user_roles», а затем сменили тактику, переключившись на «default_role». В результате все созданные учетные записи получали права администратора. Данный метод, по информации Defiant, применяют сразу две киберпреступные группировки.
В обеих кампаниях используется один и тот же PoC-код, ранее опубликованный специалистами NinTechNet, однако на этом сходство заканчивается. По словам экспертов, первая группа прекращает активность после создания учетной записи администратора, тогда как вторая действует более агрессивно, перенаправляя входящий трафик на вредоносные ресурсы, в основном на сайты фальшивой техподдержки.
Еще одна уязвимость, уже активно эксплуатируемая преступниками, была обнаружена в плагине Social Warfare, установленном на более чем 70 тыс. сайтов. Плагин временно удален из официального репозитория WordPress, однако исправленная версия (Social Warfare 3.5.3) уже доступна.
Отметим, по данным компании Sucuri, в 2018 году примерно 90% атак на системы управления контентом пришлись на сайты под управлением WordPress. Далее со значительным отрывом следуют Magento (4,6%), Joomla (4,3%) и Drupal (3,7%).