Сайты на WordPress атакуют через 0-day уязвимость в забытом плагине

Опубликовано at 29.01.2019
58 0

Эксперты компании Defiant сообщили о зафиксированных атаках на сайты на WordPress, которые используют плагин Total Donations для сбора и управления пожертвованиями пользователей. Разработчик плагина компания CodeCanyon прекратила его поддержку еще в мае минувшего года, но при этом оставила неисправленной фатальную уязвимость в коде, чем и воспользовались киберпреступники.

Дело в том, что плагин содержит конечную точку AJAX, запрос к которой удаленно может отправить любой неавторизованный пользователь. Компонент находится в одном из файлов плагина, то есть для предотвращения взлома потребуется полностью удалить плагин с сервера, отключение не поможет, хакер все равно сможет запросить конечную точку AJAX.

Через этот эндпойнт атакующий может изменить значения в настройках сайта, модифицировать связанные с плагином настройки, изменить аккаунт для взносов или извлечь списки рассылки Mailchimp, модифицировать свойства самого WordPress, перенаправить получаемые пожертвования в другое место, и тому подобное.

Так как все попытки связаться с разработчиками Total Donations не увенчались успехом, а проблема серьезна и представляет угрозу даже в том случае, если плагин отключен, эксперты Defiant настоятельно рекомендуют пользователям как можно скорее удалить опасный плагин.

Читайте также на АКБ про недавнюю странную историю, когда экс-разработчик плагина WordPress Multilingual устроил рассылку спама, а также дефейснул официальный сайт плагина, разместив на главной странице то же послание, а в раздел с описанием функций продукта добавился большой красный пункт «Дыры в безопасности».

А в конце прошлого года эксперты по кибербезопасности компании Defiant обнаружили очень быстро растущий ботнет автоматического пирамидального типа. По состоянию на декабрь 2018 в нем состояло 20 000 зараженных сайтов на WordPress, причем пополняются ряды зомби через брутфорс других таких же сайтов на WordPress с помощью словарных атак. И пополняются крайне активно: только за декабрь 2018 эксперты зафиксировали более 5 000 000 таких попыток перебора учетных данных. О дальнейшей судьбе этого ботнета пока новой информации не поступало.

Подписываемся, следим @CyberAgency

Related Post

Северная Корея использует половину закупаемой в США техники для кибератак на США

Опубликовано - 08.06.2018 0
Исследователи из Массачусетса, компания Recorded Future, изучили железо, с которого северокорейские хакеры проводят кибератаки по миру. Подавляющее большинство устройств оказалось…

Добавить комментарий