Как один плагин WordPress мог стоить Ferrari миллионы долларов

На официальном сайте автоконцерна Ferrari была обнаружена уязвимость, которая могла позволить злоумышленникам получить доступ к конфиденциальной информации. Об этом сообщила ИБ-компания Char49.

Уязвимость была обнаружена в марте исследователями из Char49. Ferrari устранила проблему в течение недели. Исследователи заметили, что домен «media.ferrari.com» работает на WordPress и использует очень старую версию плагина W3 Total Cache, который установлен на более чем 1 млн. сайтов.

Плагин подвержен уязвимости CVE-2019-6715 (CVSS: 7.5) , которая позволяет неавторизованному злоумышленнику читать произвольные файлы. Эксплуатация уязвимости позволила исследователям получить файл «wp-config.php», в котором хранятся учетные данные базы данных WordPress в открытом виде. В обнаруженной базе данных хранилась информация, связанная с доменом «media.ferrari.com».

Хотя исследователи не стали слишком глубоко копать, чтобы не нарушить правила ответственного раскрытия информации, в Char49 отметили, что уязвимость могла быть использована для доступа к другим файлам на веб-сервере, включая те, которые могут содержать информацию, ценную для злоумышленников. После получения уведомления Ferrari исправила уязвимость, обновив плагин WordPress.

Хотя в данном случае нет признаков того, что информация о клиентах или другая чувствительная информация могли быть затронуты, важно, чтобы такие известные компании, как Ferrari, гарантировали отсутствие недостатков безопасности в своих системах.

В марте Ferrari признала, что стала жертвой атаки с вымогательским программным обеспечением, в ходе которой неизвестный хакер похитил информацию о клиентах и потребовал выкуп . Ferrari отказалась платить выкуп и сообщила клиентам, что в ходе атаки были раскрыты их личные данные.

Напомним, что Ferrari ранее уже подвергалась кибератаке в октябре 2022 года . Тогда банда вымогателей RansomEXX на своем сайте утечки заявила, что взломала IT-системы Ferrari и украла 6,99 ГБ данных, включая внутренние документы, базы данных, руководства по ремонту и т. д. Источник этих документов до сих пор не известен.