Вредоносная атака нацелена на плагины WordPress

Жертв перенаправляют на подконтрольные злоумышленникам web-сайты.

На днях была обнаружена вредоносная кампания, эксплуатирующая уязвимости в некоторых плагинах для WordPress. По словам исследователей из Wordfence, жертв перенаправляют на подконтрольные злоумышленникам web-сайты.

Кампания нацелена на плагины для WordPress, разработанные NicDark (теперь Endreww), такие как Simple 301 Redirects — Addon — Bulk Uploader, Woocommerce User Email Verification, Yellow Pencil Visual Theme Customizer, Coming Soon and Maintenance Mode и Blog Designer.

Уязвимости эксплуатируются с помощью AJAX-запросов. В каждом случае плагин регистрирует ответственное за импорт настроек WordPress действие nopriv_AJAX, доступное неавторизованным пользователям. В этих запросах пары key->value параметров и значений WordPress анализируются и применяются непосредственно к базе данных уязвимого сайта.

Злоумышленники могут использовать уязвимости для изменения произвольных параметров WordPress, например, для включения регистрации в качестве пользователя-администратора. Операторы кампании изменяли настройки «siteurl» и «home» целевого web-сайта и перенаправляли посетителей на собственные ресурсы. Уязвимые версии плагина Simple 301 Redirects – Addon – Bulk Uploader всегда проверяют наличие параметра «submit_bulk_301». Наличие параметра позволяет обрабатывать загруженный CSV-файл и использовать его для импорта большого набора путей сайтов и точек перенаправления.

Для всех затронутых плагинов для WordPress разработчики выпустили обновления, исправляющие уязвимости.

Ранее стала известна самая уязвимая система — наиболее устаревшей системой управления контентом является WordPress 4.7.1 с 26 известными в настоящее время уязвимостями.

Сканер уязвимостей для WordPress

Самым популярным сканером WordPress среди разработчиков является WPScan.
Функционал WPScan включает в себя определение версии CMS, анализ установленной темы оформления, перечисление установленных плагинов и функцию брут-форса админки. Помимо вышеперечисленного, предоставляется возможность запустить сканер через прокси, задать значение User-Agent и cookie.