Злоумышленники атакуют сайты на WordPress через популярный плагин
В настоящее время атакующие просто компрометируют сайты.
Киберпреступники активно эксплуатируют уязвимость в популярном плагине WP GDPR Compliance для установки бэкдоров и перехвата управления сайтами на WordPress. Данный плагин помогает владельцам ресурсов обеспечить соответствие требованиям Общего регламента по защите данных (GDPR), число его установок превышает 100 тыс. Атаки на сайты начались примерно три недели назад. Как показало расследование, на всех пострадавших ресурсах был установлен плагин WP GDPR Compliance. Команда WordPress удалила плагин из каталога в связи с наличием ряда уязвимостей в его коде. Плагин был восстановлен в каталоге после выпуска исправленной версии 1.4.3.
Несмотря на выпуск новой версии плагина многие владельцы сайтов еще не установили обновление, чем и пользуются киберпреступники, продолжая атаковать ресурсы, использующие уязвимые редакции WP GDPR Compliance (версия 1.4.2 и ниже).
По словам специалистов компании Defiant, злоумышленники применяют атаки двух типов. В первом случае они используют уязвимость в плагине для модификации настроек и создания новой учетной записи администратора и устанавливают на скомпрометированном сайте бэкдор (файл wp-cache.php), позволяющий загружать дополнительные вредоносные модули.
Во втором случае атакующие добавляют новую задачу в WP-Cron — встроенный планировщик задач WordPress. Данный процесс загружает и устанавливает плагин 2MB Autocode, который злоумышленники в дальнейшем используют для внедрения бэкдора на сайт. Файл обладает тем же именем (wp-cache.php), но отличается от указанного выше.
В настоящее время атакующие просто компрометируют сайты и не используют бэкдоры для каких-либо вредоносных действий. С какой целью проводятся атаки, пока неясно. Как полагают исследователи, атакующие могут готовить инфраструктуру для будущих кампаний или «копят» ресурсы для дальнейшей продажи доступа к ним другим киберпреступным группировкам.