• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости WordPress-плагин для работы с подарочными картами стал новым вектором атаки

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Хакеры активно используют критическую уязвимость в WordPress плагине YITH WooCommerce Gift Cards Premium, который используется на более чем 50 000 веб-сайтов. YITH WooCommerce Gift Cards Premium – это плагин, который позволяет владельцам сайтов продавать подарочные карты в своих интернет-магазинах.

В ноябре специалисты обнаружили в плагине уязвимость, которой присвоили идентификатор CVE-2022-45359 и оценку 9.8 из 10 по шкале CVSS. Она позволяет хакерам загружать файлы на сайты (в том числе и веб-оболочки, обеспечивающие полный контроль над сайтом). Брешь затрагивает все версии плагина до 3.19.0. Стоит отметить, что исправление вышло еще в версии 3.20.0, но производитель уже выпустил версию 3.21.0 и рекомендует обновляться до нее.

Как говорят аналитики из Wordfence, на многих сайтах все еще используется старая, уязвимая версия плагина, чем пользуются злоумышленники: их эксплойт позволяет загружать бэкдоры, удаленно выполнять код и захватывать сайты жертв.

Специалисты провели реверс-инжиниринг эксплойта и выяснили, что проблема кроется в функции import_actions_from_settings_panel, которая связана с хуком admin_init. В уязвимых версиях плагина эта функция не выполняет проверки CSRF и capability, что позволяет хакерам отправлять

Эти две проблемы дают возможность неаутентифицированным злоумышленникам отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных PHP-файлов на сайт.

Вредоносные запросы отображаются в логах как unexpected POST-запросы с неизвестных IP-адресов.

Wordfence обнаружила следующие вредоносные файлы:
  • kon.php/1tes.php – этот файл загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell[.]prinsh[.]com);
  • b.php – простой файл загрузчика;
  • admin.php – защищенный паролем бэкдор.
Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов наблюдался 14 декабря 2022 года.

Атаки ведутся с сотен IP-адресов, наиболее активны два из них – вьетнамский 103[.]138.108.15 (19 604 атаки против 10 936 разных сайтов) и эстонский 188[.]66.0.135 (1220 атаки, 928 сайтов).
 
Сверху