Хакеры атакуют уязвимость в WordPress-плагине для работы с подарочными картами - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
 Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
 Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
 «Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
 Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
 Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
 В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
 Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
 Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
 Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Хакеры атакуют уязвимость в WordPress-плагине для работы с подарочными картами - «Новости»

✔Хакеры атакуют уязвимость в WordPress-плагине для работы с подарочными картами - «Новости»

27 декабря 2022 610 Добавления стилей / Новости / Вёрстка / Сайтостроение / Изображения / Отступы и поля / Текст / Преимущества стилей 0

Под атаками находится критическая уязвимость в плагине YITH WooCommerce Gift Cards Premium, который используют более 50 000 сайтов. Баг позволяет злоумышленникам установить полный контроль над уязвимым ресурсом.


Плагин YITH WooCommerce Gift Cards Premium позволяет администраторам сайтов продавать подарочные карты в своих интернет-магазинах. В ноябре в нем обнаружили критический баг CVE-2022-45359 (9,8 балла по шкале оценки уязвимостей CVSS), который позволяет неаутентифицированным злоумышленникам загружать файлы на уязвимые сайты (в том числе веб-шеллы, обеспечивающие полный контроль над ресурсом).


Уязвимость затрагивает все версии плагина вплоть до 3.19.0. Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0, и теперь настоятельно рекомендует обновляться именно до нее.


Аналитики Wordfence сообщают, что многие сайты, к сожалению, до сих пор используют уязвимую версию плагина, и это не ускользнуло от внимания хакеров. Эксплуатация бага идет полным ходом: злоумышленники используют уязвимость для загрузки бэкдоров, удаленного выполнения кода и захвата чужих сайтов.


Специалисты реконструировали эксплоит, который используют хакеры, и пишут, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init. Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых  PHP-файлов на сайт.



Эксплоит

В логах это отображается как unexpected POST-запросы с неизвестных IP-адресов.


Wordfence выянила, что злоумышленники загружали на уязвимые сайты следующие файлы:



  • php/1tes.php: загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh[.]com);

  • php: простой файл загрузчика;

  • php: защищенный паролем бэкдор.


Аналитики пишут, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов произошел 14 декабря 2022 года.


Одним из основных источников атак был IP-адрес 103.138.108.15, с которого было предпринято 19 604 попытки взлома 10 936 сайтов. За ним следует IP-адрес 188.66.0.135, с которого было совершено 1220 атак на 928 сайтов.


Так как атаки продолжаются до сих пор, эксперты рекомендую администраторам как можно скорее обновить YITH WooCommerce Gift Cards Premium до версии 3.21.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Под атаками находится критическая уязвимость в плагине YITH WooCommerce Gift Cards Premium, который используют более 50 000 сайтов. Баг позволяет злоумышленникам установить полный контроль над уязвимым ресурсом. Плагин YITH WooCommerce Gift Cards Premium позволяет администраторам сайтов продавать подарочные карты в своих интернет-магазинах. В ноябре в нем обнаружили критический баг CVE-2022-45359 (9,8 балла по шкале оценки уязвимостей CVSS), который позволяет неаутентифицированным злоумышленникам загружать файлы на уязвимые сайты (в том числе веб-шеллы, обеспечивающие полный контроль над ресурсом). Уязвимость затрагивает все версии плагина вплоть до 3.19.0. Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0, и теперь настоятельно рекомендует обновляться именно до нее. Аналитики Wordfence сообщают, что многие сайты, к сожалению, до сих пор используют уязвимую версию плагина, и это не ускользнуло от внимания хакеров. Эксплуатация бага идет полным ходом: злоумышленники используют уязвимость для загрузки бэкдоров, удаленного выполнения кода и захвата чужих сайтов. Специалисты реконструировали эксплоит, который используют хакеры, и пишут, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init. Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых PHP-файлов на сайт. Эксплоит В логах это отображается как unexpected POST-запросы с неизвестных IP-адресов. Wordfence выянила, что злоумышленники загружали на уязвимые сайты следующие файлы: php/1tes.php: загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh_
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: