Хакеры атакуют уязвимость в WordPress-плагине для работы с подарочными картами - «Новости» » Интернет технологии
sitename
Марсоход NASA Curiosity показал странную «паутину» на поверхности Марса — ранее её обнаружили с орбиты - «Новости сети»
Марсоход NASA Curiosity показал странную «паутину» на поверхности Марса — ранее её обнаружили с орбиты - «Новости сети»
 Лень британских учёных обернулась открытием лучших в мире натрий-ионных аккумуляторов - «Новости сети»
Лень британских учёных обернулась открытием лучших в мире натрий-ионных аккумуляторов - «Новости сети»
 Samsung представила Galaxy S26 Ultra — флагман с антишпионским экраном и ценой от 125 000 рублей - «Новости сети»
Samsung представила Galaxy S26 Ultra — флагман с антишпионским экраном и ценой от 125 000 рублей - «Новости сети»
 Microsoft «передумала» отказываться от поддержки устаревших принтеров в Windows 11 - «Новости сети»
Microsoft «передумала» отказываться от поддержки устаревших принтеров в Windows 11 - «Новости сети»
 «Абсолютно роскошно»: художник заворожил фанатов The Elder Scrolls V: Skyrim воссозданием Забытой долины на Unreal Engine 5 - «Новости сети»
«Абсолютно роскошно»: художник заворожил фанатов The Elder Scrolls V: Skyrim воссозданием Забытой долины на Unreal Engine 5 - «Новости сети»
 Бэкдоры LuciDoor и MarsSnake применяются для атак на телекомы в Кыргызстане и Таджикистане - «Новости»
Бэкдоры LuciDoor и MarsSnake применяются для атак на телекомы в Кыргызстане и Таджикистане - «Новости»
 ZeroDayRAT позволяет полностью скомпрометировать устройства на iOS и Android - «Новости»
ZeroDayRAT позволяет полностью скомпрометировать устройства на iOS и Android - «Новости»
 ИБ-специалисты заподозрили, что HackerOne использует их отчеты для обучения ИИ - «Новости»
ИБ-специалисты заподозрили, что HackerOne использует их отчеты для обучения ИИ - «Новости»
 Reuters: США создают онлайн-портал для обхода цензуры в ЕС и других странах - «Новости»
Reuters: США создают онлайн-портал для обхода цензуры в ЕС и других странах - «Новости»
 Android-малварь PromptSpy использует Gemini в своих атаках - «Новости»
Android-малварь PromptSpy использует Gemini в своих атаках - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Учебник CSS » Добавления стилей » Хакеры атакуют уязвимость в WordPress-плагине для работы с подарочными картами - «Новости»

✔Хакеры атакуют уязвимость в WordPress-плагине для работы с подарочными картами - «Новости»

27 декабря 2022 627 Добавления стилей / Новости / Вёрстка / Сайтостроение / Изображения / Отступы и поля / Текст / Преимущества стилей 0

Под атаками находится критическая уязвимость в плагине YITH WooCommerce Gift Cards Premium, который используют более 50 000 сайтов. Баг позволяет злоумышленникам установить полный контроль над уязвимым ресурсом.


Плагин YITH WooCommerce Gift Cards Premium позволяет администраторам сайтов продавать подарочные карты в своих интернет-магазинах. В ноябре в нем обнаружили критический баг CVE-2022-45359 (9,8 балла по шкале оценки уязвимостей CVSS), который позволяет неаутентифицированным злоумышленникам загружать файлы на уязвимые сайты (в том числе веб-шеллы, обеспечивающие полный контроль над ресурсом).


Уязвимость затрагивает все версии плагина вплоть до 3.19.0. Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0, и теперь настоятельно рекомендует обновляться именно до нее.


Аналитики Wordfence сообщают, что многие сайты, к сожалению, до сих пор используют уязвимую версию плагина, и это не ускользнуло от внимания хакеров. Эксплуатация бага идет полным ходом: злоумышленники используют уязвимость для загрузки бэкдоров, удаленного выполнения кода и захвата чужих сайтов.


Специалисты реконструировали эксплоит, который используют хакеры, и пишут, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init. Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых  PHP-файлов на сайт.



Эксплоит

В логах это отображается как unexpected POST-запросы с неизвестных IP-адресов.


Wordfence выянила, что злоумышленники загружали на уязвимые сайты следующие файлы:



  • php/1tes.php: загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh[.]com);

  • php: простой файл загрузчика;

  • php: защищенный паролем бэкдор.


Аналитики пишут, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов произошел 14 декабря 2022 года.


Одним из основных источников атак был IP-адрес 103.138.108.15, с которого было предпринято 19 604 попытки взлома 10 936 сайтов. За ним следует IP-адрес 188.66.0.135, с которого было совершено 1220 атак на 928 сайтов.


Так как атаки продолжаются до сих пор, эксперты рекомендую администраторам как можно скорее обновить YITH WooCommerce Gift Cards Premium до версии 3.21.


Под атаками находится критическая уязвимость в плагине YITH WooCommerce Gift Cards Premium, который используют более 50 000 сайтов. Баг позволяет злоумышленникам установить полный контроль над уязвимым ресурсом. Плагин YITH WooCommerce Gift Cards Premium позволяет администраторам сайтов продавать подарочные карты в своих интернет-магазинах. В ноябре в нем обнаружили критический баг CVE-2022-45359 (9,8 балла по шкале оценки уязвимостей CVSS), который позволяет неаутентифицированным злоумышленникам загружать файлы на уязвимые сайты (в том числе веб-шеллы, обеспечивающие полный контроль над ресурсом). Уязвимость затрагивает все версии плагина вплоть до 3.19.0. Патч появился еще в составе версии 3.20.0, но с тех пор производитель уже выпустил версию 3.21.0, и теперь настоятельно рекомендует обновляться именно до нее. Аналитики Wordfence сообщают, что многие сайты, к сожалению, до сих пор используют уязвимую версию плагина, и это не ускользнуло от внимания хакеров. Эксплуатация бага идет полным ходом: злоумышленники используют уязвимость для загрузки бэкдоров, удаленного выполнения кода и захвата чужих сайтов. Специалисты реконструировали эксплоит, который используют хакеры, и пишут, что корень проблемы заключается в функции import_actions_from_settings_panel, которая связана с хуком admin_init. Кроме того, эта функция не выполняет проверки CSRF и capability, что в итоге позволяет отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных исполняемых PHP-файлов на сайт. Эксплоит В логах это отображается как unexpected POST-запросы с неизвестных IP-адресов. Wordfence выянила, что злоумышленники загружали на уязвимые сайты следующие файлы: php/1tes.php: загружает в память копию файлового менеджера marijuana shell из удаленного источника (shell.prinsh_
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: