Масштабная угроза: более 1 млн. попыток взлома сайтов WordPress за несколько дней

Исследователи безопасности зафиксировали более 1 млн. попыток компрометации популярного плагина WordPress за последние несколько дней. По данным компании Wordfence, атаки начались в пятницу 14 июля и продолжались в выходные дни, достигнув пика в 1,3 млн. атак на 157 000 сайтов 16 июля.

В Wordfence заявили, что в атаках использовалась критическая уязвимость плагина WooCommerce Payments CVE-2023-28121 (CVSS: 9.8) . Ошибка позволяет злоумышленнику, не прошедшему проверку подлинности, отправлять запросы от имени пользователя с повышенными правами, например, с правами администратора. Уязвимость плагина WooCommerce Payments была исправлена 23 марта в версии 5.6.2.

В случае эксплуатации рассматриваемая уязвимость позволит удаленному злоумышленнику получить права администратора и захватить контроль над уязвимым сайтом WordPress. В Wordfence заявили, что злоумышленники пытались использовать права администратора для удаленной установки плагина WP Console на сайты-жертвы. Хакеры используют плагин WP Console для выполнения вредоносного кода и размещения загрузчика файлов, чтобы обеспечить постоянство.

Хотя количество зафиксированных попыток атак превысило 1 миллион, в Wordfence заявили, что кампания является целенаправленной. По словам экспертов, в отличие от многих других крупномасштабных кампаний, которые обычно атакуют миллионы сайтов без разбора, эта нацелена на меньший набор веб-сайтов.

Примечательно то, что за несколько дней до основной волны атак наблюдалось увеличение числа запросов на перечисление плагинов, которые искали файл «readme.txt» в директории «wp-content/plugins/woocommerce-payments/». Файлы «readme.txt» часто содержат информацию о версии плагина, что может быть использовано злоумышленниками для определения уязвимых версий плагинов на затронутых сайтах.

Ранее специалисты ИБ-компании Patchstack обнаружили уязвимость в плагине WooCommerce Stripe Gateway для WordPress, которая позволяет неавторизованному злоумышленнику просматривать детали заказа, размещенного через плагин. Раскрытие данных может привести к дальнейшим атакам, таким как попытки захвата учетных записей и кражи учетных данных через целевые фишинговые электронные письма.

Кроме того, в июле была обнаружена уязвимость в плагине для WordPress под названием «Ultimate Member», которая позволяет злоумышленнику создавать новые учетные записи пользователей с административными привилегиями, давая хакеру возможность полностью контролировать зараженные сайты.