Злоумышленники атакуют сайты под управлением MODx Evo

Злоумышленники атакуют сайты под управлением MODx Evo

В ходе атак преступники внедряют бэкдор, позволяющий загружать вредоносные скрипты.

Специалисты компании «Ревизиум» зафиксировали массовые атаки на сайты, работающие на базе CMS MODx Evolution. Компрометации подвергаются ресурсы под управлением различных версий CMS, в том числе самых актуальных.

В ходе атак злоумышленники эксплуатируют уязвимость в компоненте assets/snippets/ajaxSearch/classes/ajaxSearchConfig.class.inc.php, позволяющую внедрить бэкдор при помощи POST-запроса. Бэкдор сохраняется в базе данных и позволяет осуществлять различные действия: загружать вредоносные скрипты, производить манипуляции с файлами и базой данных, осуществлять дефейс и пр. В связи с тем, что бэкдор сохраняется в базе данных, он не детектируется сканерами файлов на хостинге. Даже в случае успешного удаления всех загруженных вредоносных скриптов у злоумышленника остается возможность повторной их загрузки.

По данным экспертов, атаки осуществляются с арендованных VPS серверов. Бот выполняет POST-запрос, загружает на сайт скрипт-загрузчик и через некоторое время использует его для размещения вредоносных скриптов на ресурсе.

На GitHub уже доступен патч, устраняющий вышеуказанную уязвимость.

Также эксперты зафиксировали атаки на MODx-сайты через популярный скрипт, часто использующийся в различных плагинах галерей. Скрипт является частью evogallery и содержит уязвимость, позволяющую загрузить произвольный файл, в том числе вредоносный.

Специалисты рекомендуют владельцам сайтов, использующих модуль галереи с uploadify и функцию ajax поиска, оперативно установить патчи. Если модуль и функция не используются, эксперты рекомендуют удалить uploadify.php и переименовать скрипт index-ajax.php.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.