Виявлено критичну вразливість WordPress: зламано десятки тисяч сайтів
Зловмисник модифікував вихідний код щонайменше п’яти плагінів, розміщених на WordPress.org, додавши шкідливі PHP-скрипти, які створюють нові облікові записи з адміністративними привілеями на сайтах, що використовують ці плагіни.
Що сталося
Як повідомляє Bleeping Computer, команда Wordfence Threat Intelligence виявила атаку 24 червня, але, за їхніми даними, шкідливі ін’єкції відбулися наприкінці минулого тижня, між 21 і 22 червня.
Після виявлення порушення, Wordfence негайно повідомила розробників плагінів, що призвело до випуску оновлень для більшості продуктів.
Постраждалі плагіни
Усього п’ять плагінів, які разом були встановлені на понад 35 000 вебсайтів, зазнали шкідливих змін:
- Social Warfare 4.4.6.4 до 4.4.7.1 (виправлено у версії 4.4.7.3)
- Blaze Widget 2.2.5 до 2.5.2 (виправлено у версії 2.5.4)
- Wrapper Link Element 1.0.2 до 1.0.3 (виправлено у версії 1.0.5)
- Contact Form 7 Multi-Step Addon 1.0.4 до 1.0.5 (виправлено у версії 1.0.7)
- Simply Show Hooks 1.2.1 до 1.2.2 (виправлення поки немає)
Як діє шкідливий код
Шкідливий код у заражених плагінах намагається створити нові облікові записи адміністраторів та впроваджувати SEO-спам на компрометованому сайті.
“На цьому етапі ми знаємо, що введене шкідливе ПЗ намагається створити новий обліковий запис адміністратора та потім надсилає ці дані на сервер, контрольований зловмисником”, – пояснює Wordfence.
Які наслідки для власників сайтів
Власники сайтів, які помітили такі облікові записи або трафік на IP-адресу зловмисника (94.156.79[.]8), повинні негайно провести повне сканування на наявність шкідливого ПЗ та вичищання.
“Якщо у вас встановлено будь-який з цих плагінів, ви повинні вважати, що ваша установка скомпрометована, і негайно перейти в режим реагування на інцидент,” – радять у Wordfence.
Що робити далі
Деякі з уражених плагінів тимчасово вилучено з WordPress.org, що може призвести до отримання попереджень навіть при використанні оновленої версії.
Будьте пильні та регулярно перевіряйте свої сайти на наявність шкідливих змін, аби захистити свій ресурс від подібних атак у майбутньому.