WordPress plaginlaridagi nol kunlik zaifliklar bir nechta guruhlar tomonidan ekspluatatsiya qilinmoqda.
Jinoyatchilar orqa eshiklarni yaratish va buzib kirilgan resurslardan trafikni yo’naltirish uchun xatolardan foydalanadilar.
Kamida ikkita kiberjinoyatchilar guruhi mashhur WordPress plaginlaridagi zaifliklardan faol foydalanmoqda. Hujumchilar ushbu zaifliklardan veb-saytlarda administrator hisoblarini yaratish uchun foydalanmoqdalar, ular orqa eshik vazifasini bajaradi va buzib kirilgan resurslardan trafikni yo’naltiradi. Xususan, 300 000 dan ortiq foydalanuvchiga ega bo’lgan Easy WP SMTP plaginida nol kunlik zaiflik aniqlandi. Dastur serverlarda SMTPni sozlash uchun ishlatiladi. Birinchi hujumlar o’tgan juma kuni NinTechNet tomonidan aniqlandi. Plagin ishlab chiqaruvchisi yamalgan v1.3.9.1 versiyasini chiqargan bo’lsa-da, hujumchilar egalari yangilanishni o’rnatmasdan oldin iloji boricha ko’proq veb-saytlarni buzishga urinishda hujumlarini davom ettirdilar. Defiantning so’zlariga ko’ra, hujumlar Easy WP SMTP 1.3.9 da joriy etilgan eksport/import sozlamalari xususiyatidan foydalanib, umumiy sayt sozlamalarini o’zgartirdi, xususan, ko’plab egalar xavfsizlik sabablari tufayli o’chirib qo’yadigan yangi foydalanuvchilarni ro’yxatdan o’tkazishni yoqishdi. Ruxsatlarni boshqaradigan parametrni o’zgartirish orqali jinoyatchilar administrator huquqlariga ega obunachi darajasidagi hisob yaratishlari mumkin edi.
Dastlab, tajovuzkorlar «wp_user_roles» sozlamasini o’zgartirdilar, keyin taktikani o’zgartirib, «default_role» ga o’tdilar. Natijada yaratilgan barcha akkauntlar administrator huquqlarini oldi. Defiantning so’zlariga ko’ra, bu usul ikkita kiberjinoyatchi guruh tomonidan qo’llanilmoqda.
Ikkala kampaniya ham ilgari NinTechNet tomonidan nashr etilgan bir xil konsepsiyani isbotlash kodidan foydalanadi, ammo o’xshashliklar shu yerda tugaydi. Mutaxassislarning fikriga ko’ra, birinchi guruh administrator hisobini yaratgandan so’ng ishlashni to’xtatadi, ikkinchisi esa kiruvchi trafikni zararli resurslarga, asosan soxta texnik qo’llab-quvvatlash veb-saytlariga yo’naltirib, yanada agressiv ishlaydi.
Jinoyatchilar tomonidan allaqachon faol foydalanilgan yana bir zaiflik 70 000 dan ortiq veb-saytlarga o’rnatilgan Social Warfare plaginida aniqlandi. Plagin vaqtincha rasmiy WordPress omboridan olib tashlandi, ammo yamalgan versiyasi (Social Warfare 3.5.3) allaqachon mavjud.
Shuni ta’kidlash kerakki, Sucuri ma’lumotlariga ko’ra, 2018-yilda kontentni boshqarish tizimlariga qilingan hujumlarning taxminan 90% WordPress asosidagi veb-saytlarga qaratilgan. Undan keyin Magento (4,6%), Joomla (4,3%) va Drupal (3,7%) sezilarli darajada farq bilan keyingi o’rinlarni egallagan.
