27.12.2022 | WordPress-плагин для работы с подарочными картами стал новым вектором атаки |
Хакеры активно используют критическую уязвимость в WordPress плагине YITH WooCommerce Gift Cards Premium, который используется на более чем 50 000 веб-сайтов. YITH WooCommerce Gift Cards Premium – это плагин, который позволяет владельцам сайтов продавать подарочные карты в своих интернет-магазинах. В ноябре специалисты обнаружили в плагине уязвимость, которой присвоили идентификатор CVE-2022-45359 и оценку 9.8 из 10 по шкале CVSS. Она позволяет хакерам загружать файлы на сайты (в том числе и веб-оболочки, обеспечивающие полный контроль над сайтом). Брешь затрагивает все версии плагина до 3.19.0. Стоит отметить, что исправление вышло еще в версии 3.20.0, но производитель уже выпустил версию 3.21.0 и рекомендует обновляться до нее. Как говорят аналитики из Wordfence , на многих сайтах все еще используется старая, уязвимая версия плагина, чем пользуются злоумышленники: их эксплойт позволяет загружать бэкдоры, удаленно выполнять код и захватывать сайты жертв. Специалисты провели реверс-инжиниринг эксплойта и выяснили, что проблема кроется в функции import_actions_from_settings_panel, которая связана с хуком admin_init. В уязвимых версиях плагина эта функция не выполняет проверки CSRF и capability, что позволяет хакерам отправлять Эти две проблемы дают возможность неаутентифицированным злоумышленникам отправлять POST-запросы в /wp-admin/admin-post.php для загрузки вредоносных PHP-файлов на сайт. Вредоносные запросы отображаются в логах как unexpected POST-запросы с неизвестных IP-адресов. Wordfence обнаружила следующие вредоносные файлы:
Аналитики сообщают, что большинство атак произошло в ноябре, прежде чем администраторы успели исправить уязвимость, но второй пик взломов наблюдался 14 декабря 2022 года. Атаки ведутся с сотен IP-адресов, наиболее активны два из них – вьетнамский 103[.]138.108.15 (19 604 атаки против 10 936 разных сайтов) и эстонский 188[.]66.0.135 (1220 атаки, 928 сайтов). |
|
Проверить безопасность сайта
