Хакеры захватили 8,7 млн WordPress-сайтов за два дня — атакуют через критические уязвимости в популярных плагинах

WordPress GutenKit Hunk Companion уязвимости CVE-2024-9234 CVE-2024-9707 CVE-2024-11972
Хакеры захватили 8,7 млн WordPress-сайтов за два дня — атакуют через критические уязвимости в популярных плагинах
WordPress GutenKit Hunk Companion уязвимости CVE-2024-9234 CVE-2024-9707 CVE-2024-11972

Рекордная волна нападений против GutenKit и Hunk Companion с десятками тысяч установок.

image

Крупная кампания по эксплуатации уязвимостей обрушилась на сайты WordPress: злоумышленники атакуют ресурсы, где установлены плагины GutenKit и Hunk Companion, уязвимые к критическим ошибкам, позволяющим выполнить произвольный код на сервере. Компания Wordfence, специализирующаяся на защите WordPress, зафиксировала 8,7 миллиона попыток атак всего за два дня — 8 и 9 октября.

В ходе кампании используются три уязвимости, зарегистрированные под номерами CVE-2024-9234, CVE-2024-9707 и CVE-2024-11972. Все они имеют максимальный уровень опасности — CVSS 9.8. Первая из них, CVE-2024-9234, обнаружена в плагине GutenKit (более 40 000 активных установок). Ошибка в REST-эндпоинте позволяет удалённо устанавливать любые плагины без какой-либо авторизации.

Две другие уязвимости — CVE-2024-9707 и CVE-2024-11972 — присутствуют в компоненте themehunk-import плагина Hunk Companion, который установлен примерно на 8 000 сайтов. Они также связаны с отсутствием проверки прав доступа при обращении к REST-эндпоинту, что позволяет злоумышленнику установить произвольный плагин, в том числе с вредоносным кодом. После внедрения дополнительного расширения атакующий получает возможность выполнить произвольные команды на сервере и добиться удалённого исполнения кода (RCE).

Уязвимость CVE-2024-9234 затрагивает версии GutenKit 2.1.0 и более ранние. Ошибки CVE-2024-9707 и CVE-2024-11972 проявляются в версиях Hunk Companion 1.8.4 и 1.8.5 соответственно, а также во всех предшествующих релизах. Исправления появились почти год назад — в GutenKit 2.1.1 (октябрь 2024) и Hunk Companion 1.9.0 (декабрь 2024), однако многие сайты до сих пор используют старые, уязвимые сборки.

По данным Wordfence, злоумышленники распространяют на GitHub вредоносный архив up.zip, содержащий замаскированный плагин. Внутри архива находятся зашифрованные скрипты, позволяющие загружать, удалять и изменять файлы, а также управлять правами доступа. Один из файлов, защищённый паролем и замаскированный под компонент All in One SEO, используется для автоматического входа злоумышленника под учётной записью администратора.

После внедрения плагина атакующие получают устойчивый доступ к ресурсу: они могут загружать или похищать данные, выполнять системные команды и отслеживать приватные сведения, обрабатываемые сайтом. Если установить полноценный бэкдор не удаётся, используется другой плагин — wp-query-console, в котором есть собственная уязвимость, позволяющая выполнять произвольный код без авторизации.

Wordfence опубликовала список IP-адресов, с которых идёт основной поток вредоносных запросов, — их можно использовать для настройки фильтрации на уровне сервера. Среди признаков компрометации специалисты рекомендуют проверять логи на наличие запросов:

  • /wp-json/gutenkit/v1/install-active-plugin
  • /wp-json/hc/v1/themehunk-import

Также следует осмотреть каталоги /up, /background-image-cropper, /ultra-seo-processor-wp, /oke и /wp-query-console — наличие неизвестных файлов в них может указывать на взлом.

Не забываем, что единственный надёжный способ защиты — регулярно обновлять все плагины и использовать версии, где уязвимости устранены разработчиками.