Злоумышленники эксплуатируют уязвимость в плагине Yuzo Related Posts.
Сервис автоматизации электронной почты Mailgun пополнил длинный список компаний, ставших жертвами масштабных координированных атак на сайты под управлением WordPress в среду, 10 апреля.
В ходе атак злоумышленники эксплуатировали уязвимость в плагине Yuzo Related Posts, позволяющую осуществить межсайтовый скриптинг (XSS). С ее помощью атакующие внедрили в уязвимые сайты код, перенаправляющий посетителей на различные вредоносные ресурсы, включая поддельные сайты техподдержки, вредоносное ПО, замаскированное под обновления, и рекламу.
Сервис Mailgun является далеко не единственной жертвой массовой атаки на сайты с уязвимым плагином. Инцидентов вполне можно было бы избежать, если бы обнаруживший уязвимость исследователь сначала уведомил о ней разработчика и лишь потом опубликовал бы свой PoC-эксплоит.
Из-за публикации PoC-эксплоита в тот же день пришлось удалить плагин из официального репозитория плагинов WordPress до тех пор, пока не выйдет патч. Однако множество сайтов, использующих Yuzo Related Posts, по-прежнему остаются уязвимыми. По данным WordPress.org, на момент удаления плагина из репозитория он был установлен на 60 тыс. сайтов.
10 апреля атаки посыпались градом, и разработчик Yuzo Related Posts в отчаянии призвал владельцев сайтов немедленно удалить проблемный плагин. Как сообщают специалисты компании Defiant, за атаками стоит одна из группировок, активно эксплуатирующих уязвимости в плагинах Easy WP SMTP и Social Warfare.
Гравитация научных фактов сильнее, чем вы думаете