Сайты на WordPress оказались под угрозой из-за уязвимости в коммерческом плагине

Сайты на WordPress оказались под угрозой из-за уязвимости в коммерческом плагине

Киберпреступники использовали взломанный сайт для перехвата входящего трафика с целью его переадресации на другие сайты.

image

Злоумышленники использовали старую уязвимость в коммерческом плагине для WordPress с целью взлома web-сайтов и внедрения бэкдоров. Первые атаки были замечены в конце прошлого месяца.

Речь идет о коммерческом плагине "WP Cost Estimate & Payment Forms Builder", используемом для создания платежных форм на сайтах электронной коммерции.

По словам эксперта Defiant Мики Веенстры (Mikey Veenstra), киберпреступники использовали взломанные сайты для перехвата входящего трафика с целью его переадресации на другие сайты. Он не исключил злоупотребление бэкдором нападавшими и для других целей.

В своем отчете Веенстра отметил , что злоумышленники использовали уязвимость, связанную c технологией AJAX, в функции загрузки плагина для сохранения файлов с бессмысленными расширениями (такими как ngfndfgsdcas.tss) на атакуемых сайтах.

Далее атакующие загружали файл .htaccess, связывающий нестандартное расширение файла с PHP-интерпретатором сайта. Таким образом при последующем доступе к файлу содержащийся в нем PHP-код исполнялся и активировал бэкдор.

В других случаях злоумышленники использовали связанные с AJAX функции для удаления настроек сайта и его переконфигурации с целью использования своей вредоносной базы данных.

По словам специалистов Defiant, все версии WP Cost Estimate до 9.644 уязвимы к этим атакам. Авторы исправили ошибку в выпуске v9.644 в октябре 2018 года после жалобы одного из пользователей о взломе его сайта. Разработчики не стали публично раскрывать эту проблему безопасности, за исключением краткого упоминания в комментарии на сервисе купли-продажи скриптов CodeCanyon. Согласно данным CodeCanyon, плагин был приобретен более 11 тыс. раз. Однако пиратские версии скриптов и плагинов, доступных на CodeCanyon, бесплатно предлагаются на сотнях других сайтов, поэтому число потенциальных жертв может быть намного больше.

Изучение данных атак продолжается. Бэкдоры, с помощью которых выполняются скрытые перенаправления, обычно являются одним из инструментов киберпреступных группировок, управляющих вредоносными ботнетами. Поэтому подобного рода атаки скорее всего будут продолжаться и последствия их могут быть более ощутимыми.

WordPress - система управления содержимым сайта со свободным пограммным обеспечением, написанная на PHP. Использует сервер базы данных MySQL. Сфера ее применения - от блогов до сложных новостных ресурсов и интернет-магазинов.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle