✔Хакеры атакуют свежую уязвимость в плагине WP Automatic - «Новости»

30 апреля 2024 568 Новости / Изображения / Вёрстка / Добавления стилей / Текст / Преимущества стилей / Сайтостроение 0

В настоящее время WP Automatic установлен более чем на 30 000 сайтов. Плагин позволяет администраторам автоматизировать импорт контента (например, текста, изображений и видео) из различных источников, а также его публикацию на своем сайте под управлением WordPress.

Атакуемая уязвимость имеет идентификатор CVE-2024-27956 и оценивается в 9,8 балла из 10 возможных по шкале CVSS. Проблема была обнаружена и раскрыта исследователями PatchStack в марте 2024 года. Специалисты описывали ее как проблему SQL-инъекций, затрагивающую WP Automatic вплоть до версии 3.9.2.0. То есть уязвимость была исправлена в версии 3.92.1 или более поздних.

Баг связан с механизмом аутентификации плагина, который можно обойти, чтобы отправлять SQL-запросы к БД сайта. В результате хакеры могут использовать специально подготовленные запросы для создания новых учетных записей администраторов на целевом ресурсе.

По данным WPScan, с тех пор как PatchStack сообщила о проблеме, на уязвимость было произведено более 5,5 млн попыток атак, большинство из которых пришлось на 31 марта текущего года.

WPScan сообщает, что после получения административного доступа к сайту злоумышленники создают бэкдоры и обфусцируют код, чтобы затруднить обнаружение взлома. Кроме того, чтобы помешать другим хакерам скомпрометировать этот же сайт, а также с целью избежать обнаружения, хакеры переименовывают уязвимый файл csv.php (/wp‑content/plugins/wp‑automatic/inc/csv.php), превращая его, например, в csv65f82ab408b3.php.

Захватив контроль над чужим сайтом, злоумышленники, как правило, устанавливают дополнительные плагины, позволяющие им загружать файлы и редактировать код.

WPScan напоминает, что администраторы могут обнаружить признаки компрометации, обратив внимание на наличие учетной записи администратора, начинающейся с «xtw», а также файлов с именами web.php и index.php, которые являются бэкдорами, установленными в ходе атак.

Хакеры начали эксплуатировать критическую уязвимость в плагине WP Automatic для WordPress. Баг используется для создания новых пользователей с правами администратора и внедрения бэкдоров. В настоящее время WP Automatic установлен более чем на 30 000 сайтов. Плагин позволяет администраторам автоматизировать импорт контента (например, текста, изображений и видео) из различных источников, а также его публикацию на своем сайте под управлением WordPress. Атакуемая уязвимость имеет идентификатор CVE-2024-27956 и оценивается в 9,8 балла из 10 возможных по шкале CVSS. Проблема была обнаружена и раскрыта исследователями PatchStack в марте 2024 года. Специалисты описывали ее как проблему SQL-инъекций, затрагивающую WP Automatic вплоть до версии 3.9.2.0. То есть уязвимость была исправлена в версии 3.92.1 или более поздних. Баг связан с механизмом аутентификации плагина, который можно обойти, чтобы отправлять SQL-запросы к БД сайта. В результате хакеры могут использовать специально подготовленные запросы для создания новых учетных записей администраторов на целевом ресурсе. По данным WPScan, с тех пор как PatchStack сообщила о проблеме, на уязвимость было произведено более 5,5 млн попыток атак, большинство из которых пришлось на 31 марта текущего года. WPScan сообщает, что после получения административного доступа к сайту злоумышленники создают бэкдоры и обфусцируют код, чтобы затруднить обнаружение взлома. Кроме того, чтобы помешать другим хакерам скомпрометировать этот же сайт, а также с целью избежать обнаружения, хакеры переименовывают уязвимый файл csv.php (/wp‑content/plugins/wp‑automatic/inc/csv.php), превращая его, например, в csv65f82ab408b3.php. Захватив контроль над чужим сайтом, злоумышленники, как правило, устанавливают дополнительные плагины, позволяющие им загружать файлы и редактировать код. WPScan напоминает, что администраторы могут обнаружить признаки компрометации, обратив внимание на наличие учетной записи администратора, начинающейся с «xtw», а также файлов с именами web.php и index.php, которые являются бэкдорами, установленными в ходе атак.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.