Категория > Новости > Как минимум две хак-группы эксплуатируют опасные уязвимости в плагинах для WordPress - «Новости»

Как минимум две хак-группы эксплуатируют опасные уязвимости в плагинах для WordPress - «Новости»


23-03-2019, 03:00. Автор: Аполлон
");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});
Рекомендуем почитать:

Xakep #239. Вскрыть и изучить

  • Содержание выпуска

  • Подписка на «Хакер»

Сразу несколько компаний, работающих в сфере информационной безопасности, предупредили, что как минимум две хакерские группировки эксплуатируют уязвимости в популярных плагинах для WordPress. В частности, баги применяются для создания на сайтах административных аккаунтов (которые затем играю роль бэкдоров) и перенаправления посетителей на вредоносные ресурсы.


Так, уязвимость нулевого дня была обнаружена в плагине Easy WP SMTP, насчитывающем более 300 000 установок. Первыми уязвимость и атаки на нее заметили специалисты компании NinTechNet, разрабатывающей Ninja Firewall для WordPress. Они сообщили о баге авторам плагина, после чего его исправили в версии v1.3.9.1.


Впрочем, как сообщают эксперты компании Defiant, атаки это не остановило, так как администраторы многих сайтов по-прежнему не обновили плагин, а злоумышленники, похоже, стараются успеть скомпрометировать как можно больше ресурсов.


По данным исследователей, уязвимость связана с импортом/экспортом настроек, функцией, появившейся в Easy WP SMTP в версии 1.3.9. Злоумышленники обнаружили, что через эту функциональность можно модифицировать настройки сайта в целом, а не только настройки самого плагина. Это позволяет преступникам открыть на уязвимом ресурсе регистрацию новых пользователей и создать учетную запись уровня subscriber, но присвоить ей права администратора.


В настоящее время проблему эксплуатируют как минимум две хакерские группы, которые даже успели уже сменить тактику: вначале преступники вносили поправки в настройку wp_user_roles, а затем переключились на default_role. В результате все новые аккаунты получают права администратора. Обе группы  используют один и тот же proof of concept эксплоит, описанный в отчете специалистов NinTechNet.


Эксперты Defiant отмечают, что поведение хак-групп сильно разливается: одна группировка лишь создает на сайтах бэкдор-аккаунты и после этого пока не предпринимает никаких действий, тогда как вторая группировка действует более агрессивно и перенаправляет весь трафик со взломанных ресурсов на сайты фальшивой техподдержки.


Еще одна уязвимость, уже находящаяся под атакой, была найдена в плагине Social Warfare, установленном на 70 000 сайтов. О проблеме предупредили эксперты Wordfence, Sucuri и NinTechNet: баг представляет собой называемую stored XSS, то есть «хранимую» или «постоянную» XSS-уязвимость. При помощи этой уязвимости злоумышленники могут внедрить вредоносный код jаvascript в кнопки для  публикации ссылок в социальных сетях, представленные на страницах сайта. В итоге жертва оказывается перенаправлена на вредоносный ресурс.


Опасный плагин пришлось временно исключить из официального репозитория WordPress, но в настоящее время уже была выпущена исправленная версия Social Warfare  3.5.3, обновиться до которой администраторам рекомендуется как можно скорее.


Источник новостиgoogle.com
Перейти обратно к новости