Ошибки в WordPress, возможно, позволили хакерам получить права администратора и очистить данные с уязвимых веб-сайтов.
Новые учетные записи с правами администратора могут быть созданы и использованы для полного захвата веб-сайта. Хакеры активно использовали критические ошибки в плагинах WordPress, которые позволяли им полностью контролировать содержимое веб-сайтов и даже удалять их. В плагине WordPress ThemeREX Addons была обнаружена уязвимость нулевого дня.[1] При использовании уязвимости злоумышленники могут создавать учетные записи с административными привилегиями, поэтому веб-сайты могут быть захвачены.
По данным службы безопасности Wordfence, данный плагин установлен как минимум на 44000 веб-сайтов, поэтому все эти сайты уязвимы.[2] Плагин предлагает 466 коммерческих тем и шаблонов WordPress для продажи, поэтому клиенты могут легко настраивать темы и управлять ими.
Плагин работает, настраивая конечную точку WordPress REST-API, но не проверяя, исходят ли команды, отправленные в этот REST API, от владельца сайта или авторизованного пользователя или нет. Вот как удаленный код может быть выполнен любым неаутентифицированным посетителем.
[3]Еще одна ошибка, связанная с темами WordPress, была обнаружена в плагинах от ThemeGrill, которые продают темы веб-сайтов более чем 200 000 сайтов. Уязвимость позволяла злоумышленникам отправлять определенные полезные данные на эти уязвимые сайты и запускать требуемые функции после получения прав администратора.[4]
Схема троянизированных тем WordPress, которые привели к компрометации серверов
Согласно анализу, такие недостатки позволили поставить под угрозу не менее 20 000 веб-серверов по всему миру. Возможно, это привело к установкам вредоносных программ и разоблачению вредоносной рекламы. Более одной пятой этих серверов принадлежит среднему бизнесу, у которого меньше финансирования больше настраиваемых веб-сайтов, в отличие от более крупных компаний, поэтому такие инциденты безопасности также более значительны в повреждать.
Использование преимуществ такой широко используемой CMS, возможно, началось еще в 2017 году. Хакеры могут достигать своих целей и бессознательно взламывать различные веб-сайты из-за недостаточной осведомленности жертв о безопасности. Помимо упомянутых уязвимых плагинов и других недостатков, было обнаружено 30 веб-сайтов, предлагающих темы и плагины WordPress.[5]
Были установлены троянизированные пакеты, и пользователи распространяли вредоносные файлы, даже не подозревая, что такое поведение позволяет злоумышленникам получить полный контроль над веб-сервером. Оттуда легко добавить учетные записи администратора, восстановить веб-серверы и даже получить доступ к корпоративным ресурсам.
Кроме того, вредоносные программы, участвующие в таких атаках, могут:
- общаться с управляющими серверами, принадлежащими хакерам;
- скачивать файлы с сервера;
- добавить файлы cookie для сбора различных данных о посетителях;
- собрать информацию о пораженной машине.
Также злоумышленники, задействованные в таких схемах, могут использовать ключевые слова, вредоносную рекламу и другие приемы:
Во многих случаях реклама была абсолютно безвредной и направляла конечного пользователя на законный сервис или веб-сайт. Однако в других случаях мы наблюдали всплывающие окна с рекламой, предлагающей пользователю загрузить потенциально нежелательные программы.
WordPress - самая популярная CMS в мире
Последние отчеты показывают, что использование CMS больше не является необязательным и растет. Специально для корпоративных компаний и автономных приложений, которые управляют контентом, отделенным от начального уровня отображения или интерфейса пользователя.[6] Исследование показывает, что по сравнению с другими системами управления контентом, использование WordPress увеличилось.
Кроме того, предприятия явно выигрывают от одновременного использования нескольких CMS, поэтому такая практика становится все более популярной. Это исключительно удобно, когда речь идет о проблемах с уязвимостями и ошибками или о различных проблемах, касающихся услуг, конфиденциальности и безопасности вашего веб-сайта и конфиденциальных данных.
Возможные шаги
Исследователи советуют организациям и администраторам:
- избегать использования пиратского ПО;
- включить и обновить Защитник Windows или различные антивирусные решения;
- держитесь подальше от повторного использования паролей для разных учетных записей;
- регулярно обновляйте ОС
- полагаться на исправления, доступные для некоторых из этих уязвимостей, и обновления для определенных подключаемых модулей.