Злоумышленники активно сканируют сайты на WordPress в поисках уязвимых плагинов Duplicator
Уязвимость в плагине позволяет перехватить контроль над сайтом.
Киберпреступники активно сканируют интернет на предмет сайтов на WordPress, использующих уязвимые версии плагина Duplicator, с помощью которого они могли бы перехватить контроль над ресурсом. По имеющимся данным, плагин установлен на более чем 1 млн сайтов, в том числе занимающих верхние строчки в рейтинге Alexa. Популярность плагина обусловлена тем, что он позволяет администраторам перенести сайты на новый сервер всего за несколько минут. Duplicator генерирует ZIP файл с предыдущей версией сайта и PHP файл под названием installer.php. Администраторам требуется всего лишь загрузить файлы на новый сервер, открыть PHP файл и ввести логин/пароль для новой базы данных.
Однако в июле нынешнего года эксперты компании Synacktiv обнаружили, что Duplicator не удаляет файлы после успешного переноса, включая оригинальные ZIP архив и файл PHP. То есть, атакующий в любой момент может получить доступ к installer.php, указать собственные учетные данные и временно перехватить управление сайтом и, соответственно, сервером. Данные действия приведут к сбою в работе текущего сайта, но, по словам исследователей, у злоумышленников будет достаточно времени, чтобы установить вредоносные плагины, которые могут использоваться для внедрения бэкдоров на сервер. Примечательно, даже после перезапуска сайта бэкдор сохранится.
В конце августа разработчики Duplicator устранили уязвимость с выпуском версии 1.2.42. Несколько дней спустя эксперты Synacktiv опубликовали подробную информацию о проблеме, включая PoC-код, позволяющий перехватить контроль над сайтами, чьи администраторы не удалили вручную оставшиеся после переноса файлы. Как отмечается, после публикации эксплоита число попыток сканирования в поисках уязвимых сайтов на WordPress резко возросло.
