- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
В ноябре специалисты обнаружили в плагине уязвимость, которой присвоили идентификатор CVE-2022-45359 и оценку 9.8 из 10 по шкале CVSS. Она позволяет хакерам загружать файлы на сайты (в том числе и веб-оболочки, обеспечивающие полный контроль над сайтом). Брешь затрагивает все версии плагина до 3.19.0. Стоит отметить, что исправление вышло еще в версии 3.20.0, но производитель уже выпустил версию 3.21.0 и рекомендует обновляться до нее.
Как говорят аналитики из Wordfence, на многих сайтах все еще используется старая, уязвимая версия плагина, чем пользуются злоумышленники: их эксплойт позволяет загружать бэкдоры, удаленно выполнять код и захватывать сайты жертв.
Специалисты провели реверс-инжиниринг эксплойта и выяснили, что проблема кроется в функции import_actions_from_settings_panel, которая связана с хуком admin_init. В уязвимых версиях плагина эта функция не выполняет проверки CSRF и capability, что позволяет хакерам отправлять
Эти две проблемы дают возможность неаутентифицированным злоумышленникам отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных PHP-файлов на сайт.
Вредоносные запросы отображаются в логах как unexpected POST-запросы с неизвестных IP-адресов.
Wordfence обнаружила следующие вредоносные файлы:
- kon.php/1tes.php – этот файл загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell[.]prinsh[.]com);
- b.php – простой файл загрузчика;
- admin.php – защищенный паролем бэкдор.
Атаки ведутся с сотен IP-адресов, наиболее активны два из них – вьетнамский 103[.]138.108.15 (19 604 атаки против 10 936 разных сайтов) и эстонский 188[.]66.0.135 (1220 атаки, 928 сайтов).