Сайты на WordPress оказались под угрозой из-за уязвимости в коммерческом плагине
Киберпреступники использовали взломанный сайт для перехвата входящего трафика с целью его переадресации на другие сайты.
Злоумышленники использовали старую уязвимость в коммерческом плагине для WordPress с целью взлома web-сайтов и внедрения бэкдоров. Первые атаки были замечены в конце прошлого месяца. Речь идет о коммерческом плагине «WP Cost Estimate & Payment Forms Builder», используемом для создания платежных форм на сайтах эллектронной коммерции. По словам эксперта Defiant Мики Веенстры (Mikey Veenstra), киберпреступники использовали взломанные сайты для перехвата входящего трафика с целью его переадресации на другие сайты. Он не исключил злоупотребление бэкдором нападавшими и для других целей.
В своем отчете Веенстра отметил , что злоумышленники использовали уязвимость, связанную c технологией AJAX, в функции загрузки плагина для сохранения файлов с бессмысленными расширениями (такими как ngfndfgsdcas.tss) на атакуемых сайтах.
Далее атакующие загружали файл .htaccess, связывающий нестандартное расширение файла с PHP-интерпретатором сайта. Таким образом при последующем доступе к файлу содержащийся в нем PHP-код исполнялся и активировал бэкдор.
В других случаях злоумышленники использовали связанные с AJAX функции для удаления настроек сайта и его переконфигурации с целью использования своей вредоносной базы данных.
По словам специалистов Defiant, все версии WP Cost Estimate до 9.644 уязвимы к этим атакам. Авторы исправили ошибку в выпуске v9.644 в октябре 2018 года после жалобы одного из пользователей о взломе его сайта. Разработчики не стали публично раскрывать эту проблему безопасности, за исключением краткого упоминания в комментарии на сервисе купли-продажи скриптов CodeCanyon. Согласно данным CodeCanyon, плагин был приобретен более 11 тыс. раз. Однако пиратские версии скриптов и плагинов, доступных на CodeCanyon, бесплатно предлагаются на сотнях других сайтов, поэтому число потенциальных жертв может быть намного больше.
Изучение данных атак продолжается. Бэкдоры, с помощью которых выполняются скрытые перенаправления, обычно являются одним из инструментов киберпреступных группировок, управляющих вредоносными ботнетами. Поэтому подобного рода атаки скорее всего будут продолжаться и последствия их могут быть более ощутимыми.
WordPress — система управления содержимым сайта со свободным пограммным обеспечением, написанная на PHP. Использует сервер базы данных MySQL. Сфера ее применения — от блогов до сложных новостных ресурсов и интернет-магазинов.