0-day уязвимость в плагине для CMS WordPress позволяет повышать привилегии и обходить аутентификацию

0-day уязвимость в плагине для CMS WordPress позволяет повышать привилегии и обходить аутентификацию
5caf0c18dcb14d79ab17e6b515d639dc.jpg
С начала 2021 года плагины CMS WordPress продолжают предлагать злоумышленникам привлекательные возможности для атак.
Так, например, в январе стало известно о двух уязвимостях (одна из которых критическая) в плагине Orbit Fox, который позволяет внедрять вредоносный код в уязвимые веб-сайты и получать расширенные права (повышение привилегий) пользователя. В плагине PopUp Builder, используемом для создания всплывающих окон для подписок на новостные рассылки, найдена уязвимость, которую злоумышленники могли использовать для рассылки информационных бюллетеней с настраиваемым контентом и для удаления/импорта подписчиков. А в феврале была обнаружена ошибка безопасности в плагине Contact Form 7, которая позволяет загружать файлы и вредоносный код на сервер, на котором размещен сайт.

На этот раз источником бреши стал плагин The Plus Addons for Elementor (набор виджетов, шаблонов страниц, блоков пользовательского интерфейса), который расширяет возможности дизайна для сайтов, использующих плагин Elementor для построения веб-страниц. По словам разработчика , было зафиксировано более 30 000 установок плагина. Очередная 0-day уязвимость позволяет злоумышленникам повышать привилегии и обходить аутентификацию.

Брешь дает возможность хакерам создавать на уязвимых сайтах привилегированные учетные записи (администраторов), а также выполнять вход из-под существующей учетной записи администратора. При этом сайты должны предусматривать функционал регистрации и логина пользователей. Источником бреши стали создаваемые с помощью плагина виджеты форм регистрации и входа. Кроме того, как утверждают специалисты компании по информационной безопасности Defiant, эксплойт можно провести даже при отсутствии активной страницы логина или регистрации.

Уязвимость была оценена как критическая (9,8 балла по шкале CVSS) и получила идентификатор CVE-2021-24175. Ее наличие подтверждено для всех версий плагина, начиная с 4.1.6 и ниже, поэтому пользователям уязвимого плагина настоятельно рекомендуется установить свежее обновление. Если по каким-то причинам это сделать пока невозможно, рекомендуется полностью удалить все виджеты регистрации/входа, добавленные с помощью The Plus Addons for Elementor, и отключить регистрацию на сайте. Специалисты из Defiant в качестве альтернативы предлагают использовать бесплатную версию с урезанным функционалом того же плагина ( Plus Addons for Elementor Lite ), которая не содержит уязвимости.

Что касается индикаторов компрометации, то по ним информация довольно ограниченная: исследователи предполагают, что новая брешь используется злоумышленниками, как правило, для создания дополнительных аккаунтов на WordPress-сайтах, а иногда и установки на сервере вредоносных плагинов. По этой причине администраторам рекомендуется дополнительно проверить сайты на наличие новых нелегитимных пользователей с расширенными правами и плагинов, установка которых не являлась плановой.
«Веб-серфинг уже давно стал настолько обыденным процессом, что заметить подозрительный контент среди привычного веб-окружения становится все сложнее, а ведь именно этим могут воспользоваться злоумышленники, получив расширенные права администратора на уязвимом сайте, – отмечает директор Инженерного центра Angara Professional Assistance Тимур Кузнецов. – Для защиты веб-приложений от хакерских атак мы предлагаем сервис, обеспечивающий поиск, обнаружение и блокирование эксплуатации уязвимостей и попыток вторжений».

ACR SERVICE WAF обеспечивает:
  • активный режим блокирования обнаруженных атак на веб-приложения с использованием технологий машинного обучения;
  • сигнатурный и безсигнатурный (поведенческий) анализ трафика, включая защиту от bruteforce атак;
  • сканирование уязвимостей веб приложений на периметре (извне защищаемой сети);
  • уведомления об уязвимостях приложения сайта и принятых мерах по выявлению и блокированию вредоносного трафика.
Подробную информацию об услуге ACR SERVICE WAF можно найти на нашем сайте в разделе « MSSP », блок «ACR SERVICE WAF», а также получить у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.
Alt text

Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group