- 9,465
- 18
- 8 Ноя 2022
Хакеры тщательно скрывают следы атаки и предотвращают конкуренцию.
Киберпреступники начали эксплуатировать критическую уязвимость в плагине WP Automatic для WordPress , что позволяет создавать учетные записи с административными привилегиями и устанавливать бэкдоры для долгосрочного доступа.
Плагин WP Automatic, установленный более чем на 30 000 сайтах, позволяет администраторам автоматизировать импорт контента (тексты, изображения, видео) из различных источников для публикации на сайте WordPress.
Уязвимость SQL-инъекции Для просмотра ссылки Войдиили Зарегистрируйся (оценка CVSS: 9.9) затрагивает версии WP Automatic до 3.9.2.0. Ошибка была Для просмотра ссылки Войди или Зарегистрируйся 13 марта исследователями из PatchStack . Она
Проблема заключается в механизме аутентификации пользователей плагина, который можно обойти, чтобы отправлять SQL-запросы к базе данных сайта. Злоумышленники используют специально подготовленные запросы для создания учетных записей администратора на целевом сайте.
С момента публикации информации об уязвимости, служба WPScan от Automattic Для просмотра ссылки Войдиили Зарегистрируйся более 5,5 млн. попыток атак, большинство из которых приходится на 31 марта.
После получения административного доступа к сайту, атакующие создают бэкдоры и обфусцируют код, чтобы усложнить его обнаружение. Для предотвращения доступа других хакеров к сайту через ту же уязвимость и для избежания обнаружения, злоумышленники также переименовывают уязвимый файл в «csv.php».
При установлении контроля над сайтом, киберпреступники часто устанавливают дополнительные плагины, позволяющие загружать файлы и редактировать код.
WPScan предоставляет ряд индикаторов компрометации (IoC), которые могут помочь администраторам определить, был ли их сайт взломан. К признакам относятся наличие учетной записи администратора, начинающейся с «xtw», и файлы под названием web.php и index.php, которые являются бэкдорами, установленными в ходе недавней кампании.
Для минимизации риска взлома, исследователи рекомендуют администраторам сайтов WordPress обновить плагин WP Automatic до версии 3.92.1 или более поздней. Также рекомендуется регулярно создавать резервные копии сайта, чтобы в случае компрометации можно было быстро восстановить его из копии.
Киберпреступники начали эксплуатировать критическую уязвимость в плагине WP Automatic для WordPress , что позволяет создавать учетные записи с административными привилегиями и устанавливать бэкдоры для долгосрочного доступа.
Плагин WP Automatic, установленный более чем на 30 000 сайтах, позволяет администраторам автоматизировать импорт контента (тексты, изображения, видео) из различных источников для публикации на сайте WordPress.
Уязвимость SQL-инъекции Для просмотра ссылки Войди
Проблема заключается в механизме аутентификации пользователей плагина, который можно обойти, чтобы отправлять SQL-запросы к базе данных сайта. Злоумышленники используют специально подготовленные запросы для создания учетных записей администратора на целевом сайте.
С момента публикации информации об уязвимости, служба WPScan от Automattic Для просмотра ссылки Войди
После получения административного доступа к сайту, атакующие создают бэкдоры и обфусцируют код, чтобы усложнить его обнаружение. Для предотвращения доступа других хакеров к сайту через ту же уязвимость и для избежания обнаружения, злоумышленники также переименовывают уязвимый файл в «csv.php».
При установлении контроля над сайтом, киберпреступники часто устанавливают дополнительные плагины, позволяющие загружать файлы и редактировать код.
WPScan предоставляет ряд индикаторов компрометации (IoC), которые могут помочь администраторам определить, был ли их сайт взломан. К признакам относятся наличие учетной записи администратора, начинающейся с «xtw», и файлы под названием web.php и index.php, которые являются бэкдорами, установленными в ходе недавней кампании.
Для минимизации риска взлома, исследователи рекомендуют администраторам сайтов WordPress обновить плагин WP Automatic до версии 3.92.1 или более поздней. Также рекомендуется регулярно создавать резервные копии сайта, чтобы в случае компрометации можно было быстро восстановить его из копии.
- Источник новости
- www.securitylab.ru
