Как минимум две хак-группы эксплуатируют опасные уязвимости в плагинах для WordPress - «Новости»

Xakep #239. Вскрыть и изучить

• Содержание выпуска


• Подписка на «Хакер»

Сразу несколько компаний, работающих в сфере информационной безопасности, предупредили, что как минимум две хакерские группировки эксплуатируют уязвимости в популярных плагинах для WordPress. В частности, баги применяются для создания на сайтах административных аккаунтов (которые затем играю роль бэкдоров) и перенаправления посетителей на вредоносные ресурсы.

Так, уязвимость нулевого дня была обнаружена в плагине Easy WP SMTP, насчитывающем более 300 000 установок. Первыми уязвимость и атаки на нее заметили специалисты компании NinTechNet, разрабатывающей Ninja Firewall для WordPress. Они сообщили о баге авторам плагина, после чего его исправили в версии v1.3.9.1.

Впрочем, как сообщают эксперты компании Defiant, атаки это не остановило, так как администраторы многих сайтов по-прежнему не обновили плагин, а злоумышленники, похоже, стараются успеть скомпрометировать как можно больше ресурсов.

По данным исследователей, уязвимость связана с импортом/экспортом настроек, функцией, появившейся в Easy WP SMTP в версии 1.3.9. Злоумышленники обнаружили, что через эту функциональность можно модифицировать настройки сайта в целом, а не только настройки самого плагина. Это позволяет преступникам открыть на уязвимом ресурсе регистрацию новых пользователей и создать учетную запись уровня subscriber, но присвоить ей права администратора.

В настоящее время проблему эксплуатируют как минимум две хакерские группы, которые даже успели уже сменить тактику: вначале преступники вносили поправки в настройку wp_user_roles, а затем переключились на default_role. В результате все новые аккаунты получают права администратора. Обе группы  используют один и тот же proof of concept эксплоит, описанный в отчете специалистов NinTechNet.

Эксперты Defiant отмечают, что поведение хак-групп сильно разливается: одна группировка лишь создает на сайтах бэкдор-аккаунты и после этого пока не предпринимает никаких действий, тогда как вторая группировка действует более агрессивно и перенаправляет весь трафик со взломанных ресурсов на сайты фальшивой техподдержки.

Еще одна уязвимость, уже находящаяся под атакой, была найдена в плагине Social Warfare, установленном на 70 000 сайтов. О проблеме предупредили эксперты Wordfence, Sucuri и NinTechNet: баг представляет собой называемую stored XSS, то есть «хранимую» или «постоянную» XSS-уязвимость. При помощи этой уязвимости злоумышленники могут внедрить вредоносный код jаvascript в кнопки для  публикации ссылок в социальных сетях, представленные на страницах сайта. В итоге жертва оказывается перенаправлена на вредоносный ресурс.

Опасный плагин пришлось временно исключить из официального репозитория WordPress, но в настоящее время уже была выпущена исправленная версия Social Warfare  3.5.3, обновиться до которой администраторам рекомендуется как можно скорее.