Множество уязвимостей в плагине WordPress, активно подвергающихся атакам

Ионут Илашку
  • 25 февраля 2020 г.
  • 3:35 вечера
  • 0

Множество уязвимостей в плагине WordPress, активно подвергающихся атакам

Киберпреступники пользуются недавними недостатками безопасности, о которых недавно сообщалось в популярных плагинах WordPress, и нацелены на сайты, на которых по-прежнему работают уязвимые версии.

По крайней мере два участника угроз активно атакуют непатентованные варианты подключаемых модулей ThemeGrill Demo Importer, Profile Builder и Duplicator.

Общим для трех компонентов WordPress являются недавние сообщения о критической ошибке серьезности, которая может быть использована для компрометации сайта, на котором они работают.

По оценкам исследователей, в настоящее время существует риск использования сотен тысяч сайтов WordPress, поскольку администраторы не обновили три плагина.

Ленивый Тони

Один из исследователей безопасности, называемый tonyredball, получает доступ к веб-сайтам, на которых запущена уязвимая версия следующих двух плагинов:

ThemeGrill Demo Importer (ниже 1.6.3). ошибка позволяет неаутентифицированным пользователям входить в систему как администратор и просматривать всю базу данных сайта
Конструктор профилей бесплатный и Pro (ниже 3.1.1). недостаток позволяет неаутентифицированному пользователю получить права администратора

Эксперты по безопасности WordPress из Defiant заметили, что tonyredball использует уязвимость регистрации администратора в Profile Builder посредством запросов, которые содержат имя пользователя, адрес электронной почты и другие данные профиля новой учетной записи администратора.

Тем не менее, исследователи заметили, что этот субъект, участвующий в угрозе, участвовал в гораздо большем количестве атак, в которых использовался недостаток удаления базы данных в ThemeGrill Demo Importer.

Причиной такого поведения, вероятно, является более легкая эксплуатация этого сбоя, который требует только отправки запроса уязвимой установке. Им придется приложить больше усилий в случае с Profile Builder, потому что они должны сначала найти уязвимую форму.

Читайте также

  • Скрытые чаты в ViberViber принял весьма серьезные меры по совершенствованию конфиденциальности вашей переписки: теперь вся передаваемая вами информация – тексты, фото, видео – шифруется, и никому постороннему вплоть до самих разработчиков позволяющей...
  • Как снять видео с экрана айфона 6 На просторах глобальной сети Web интернет вы многократно встречали видео ролики, записанные с экранов iPhone по другому iPad. Видеоблоггеры повсевременно употребляют их в собственном «творчестве». А вы не...
  • Сайт для моделей, поддерживающих Huawei Share OneHop > Поддерживаемые системные программы: Галерея, файлы, заметки, электронная почта, диктофон. Предупреждение! Файлы приложения из записи доступны для переноса путем перетаскивания их с телефона н...
  • 2020-04-20Как сообщает Gniezno24, в сеть добавлен список из 300 наименований. Хотя на нем нет имен, вы можете найти адреса, разбросанные по всему району. Некоторые повторяются, когда более чем один человек помещен в карантин в данном месте. Региональ...
  • Забастовка будет транслироваться в прямом эфиреПочему это важно: У Amazon никогда не было лучшей репутации в том, что касается обращения с сотрудниками, и это особенно актуально во время кризиса Covid-19. Двое рабочих, которые были уволены после крит...
  • IOS 13.3. один из самых ярких моментов последнего обновления Apple для iPhone и iPad. Это набор новых родительских контролей. Эти инструменты, называемые лимитами общения, предоставляют родителям детальный контроль над коммуникационными действиями со...

"Конечным результатом использования любой из этих уязвимостей является административный доступ к сайту жертвы. Получив такой доступ, злоумышленник загружает вредоносные скрипты через плагин и загрузчики тем в панели управления WordPress.", Майки Веенстра, аналитик угроз в Defiant, создатель Wordfence

Злоумышленник использует несколько вариантов сценария, который связан с несколькими именами файлов, наиболее распространенным из которых является blockspluginn.php, WP-блок-plugin.php, supersociall.php, WP-блок-plugin.php, и сор-привет-plugin.php.

После эксплуатации субъект угроз доставляет полезные данные, предназначенные для заражения большего количества файлов, для сохранения. Поиск других уязвимых сайтов WordPress. еще одно поведение, которое наблюдали исследователи.

В некоторых случаях злоумышленник внедряет вредоносный код в допустимые файлы JavaScript. Целью кода является загрузка другого скрипта из внешнего источника, который перенаправляет посетителей сайта в потенциально вредоносное местоположение.

Перенаправление не является сложным и его легко обнаружить в данный момент, но злоумышленник может изменить сценарии так, чтобы они были хитрее. В одном примере посетители попадают на веб-сайт («talktofranky.com»), который просит их нажать «Разрешить» во всплывающем окне уведомления браузера, чтобы доказать, что они люди.

Если посетители подчиняются, они дают разрешение на получение уведомлений с этого сайта, включая спам и. Веенстра нашла дискуссионный форум об этой кампании, предположив, что она принесла некоторые жертвы.

По словам исследователя, атаки от tonyredball осуществляются с одного основного IP-адреса, 45.129.96.17, назначенного эстонскому хостинг-провайдеру GMHost, известному своей свободной политикой, поощряющей киберпреступную деятельность.

Нет точных данных о количестве уязвимых веб-сайтов из-за непатентованных плагинов. Веенстра сказал BleepingComputer, что, по оценкам Defiant, в Profile Builder занято около 37 000 уязвимых сайтов, а в ThemeGrill Demo Importer. около 40 000.

Другой игрок с большим списком

Более изощренный злоумышленник, определенный Defiant, "solarsalvador1234," назван так из-за адреса электронной почты, используемого в запросах, ведущих к эксплуатации.

Помимо двух плагинов, предназначенных для tonyredball, у этого субъекта угрозы также есть в списке Duplicator, компонент WordPress с более чем миллионом активных установок, который позволяет клонировать и переносить веб-сайт из одного места в другое. Он также может копировать или перемещать, поэтому его также можно использовать в качестве решения для резервного копирования.

Читайте также

  • Многие пользователи Xiaomi Redmi Note 4 сталкиваются с этой проблемой, потому что их компьютер не видит их смартфон. Как подключить Xiaomi Redmi Note 4 к ПК или ноутбуку через USB-кабель для передачи данных со смартфона на ПК или наоборот? Возможно, ...
  • Настройка цифрового ТВ на SamsungЦифровое TV на земле России появилось несколько лет назад и с того времени активно используется. Здесь вполне понятно. Все, выполнив настройку всего раз, не нужно постоянно поправлять антенну или перенастраивать телев...
  • Последние запуски отмечают третью итерацию Beidou, что означает «Большая Медведица», первая из которых была выведена из эксплуатации в 2012 году. За последние два десятилетия космическая программа Китая быстро развивалась по всем направлениям. Бейду ...
  • 7 СПОСОБОВ СДЕЛАТЬ СКРИНШОТ В MIUI НА XIAOMIВсем привет и сейчас я расскажу о 7 методах самые сделать снимок экрана вашего смартфона. Хотите сделать скриншот экрана на sony xperia? Как сделать, чтобы xiaomi mi band 2 отображал имя входящего звонка? П...
  • В 2016 году компания Huawei вышла в фавориты по продаже телефонов. Популярность ее повсевременно вырастает. Ее техника размеренная, и нет никаких колебаний, что через некоторое время качество будет только повышаться.Соперник Xiaomi не в такой мере от...
  • Есть не просто признаков того, что онлайн-ритейлер рассматривается как конкурент, а не как партнер.FedEx завершит дополнительную службу доставки с Amazon.Агентство Синьхуа / Getty ImagesFedEx делает дополнительный шаг, чтобы оторваться от Amazon. Гру...

Версии Duplicator ниже 1.3.28 имеют ошибку безопасности, которая позволяет неаутентифицированным пользователям загружать произвольные файлы с сайтов-жертв.

Это можно использовать для получения файла конфигурации сайта, wp-config.php, где хранятся учетные данные для доступа к базе данных; и это именно то, что делает solarsalvador1234. Ближайшая цель. установить долгосрочный доступ к взломанному сайту.

Административный доступ к сайту жертвы. это то, что злоумышленники получают, используя любую из трех уязвимостей, уже раскрытых и исправленных публично.

На основании частоты обновлений в сети, по оценкам Defiant, около 800 000 сайтов могут по-прежнему использовать уязвимую установку плагина Duplicator.

Veenstra предупреждает, что эти кампании являются не единственными активными, но служат напоминанием владельцам веб-сайтов о необходимости постоянно обновлять используемые ими компоненты WordPress.

"Когда выпущено обновление для системы безопасности, сделайте его приоритетным для его установки. Акторы угроз, с которыми сталкивается экосистема WordPress, быстро выявляют и используют уязвимости, что усугубляет важность своевременных действий для защиты вашей инфраструктуры."