Злодеи взламывают WordPress-сайты через 0-day в плагине WPGateway

Злодеи взламывают WordPress-сайты через 0-day в плагине WPGateway

Команда Wordfence Threat Intelligence предупреждает об атаках на WordPress-сайты, в которых используется эксплойт для уязвимости нулевого дня в плагине WPGateway. В ходе таких атак злоумышленники получают полный контроль над целевым ресурсом.

Плагин WPGateway позволяет администраторам сайтов на WordPress упростить выполнение некоторых задач. Например, с его помощью можно легко настраивать веб-ресурс или создавать его резервные копии, а также управлять темами и плагинами.

Однако в плагине нашлась критическая дыра под идентификатором CVE-2022-3180, позволяющая не прошедшему аутентификацию атакующему добавить новых пользователей с правами администратора.

Если условный киберпреступник грамотно воспользуется эксплойтом, он сможет получить полный контроль над сайтом жертвы. Рем Галл из Wordfence пишет относительно уязвимости следующее:

«8 сентября 2022 года команде Wordfence Threat Intelligence стало известно об активной эксплуатации 0-day уязвимости в реальных кибератаках. Злоумышленники добавляли собственных пользователей с правами администратора на сайты, работающие с плагином WPGateway».

«За последние 30 дней файрвол Wordfence смог заблокировать более 4,6 млн атак с использованием этой 0-day, направленных более чем на 280 тысяч сайтов».

Специалисты пока не рискуют публиковать дополнительные подробности атак, чтобы не спровоцировать новую волну. Стоящие за атакой злоумышленники также не называются. Всем владельцам сайтов на WordPress, где установлен плагин WPGateway, стоит срочно установить патч.

Проверить, был ли ваш сайт взломан с помощью этого эксплойта легко: попробуйте найти в системе пользователя с именем rangex

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Docker Hub обнаружены 1600 образов с майнерами и вшитыми секретами

По данным Sysdig, почти две трети pull-запросов (61%) в репозитории Docker Hub приходится на публичные хранилища образов. Исследование показало, что такие загрузки небезопасны.

Чтобы в этом убедиться, специалисты несколько месяцев изучали содержимое образов контейнера, выложенных пользователями Docker Hub в общий доступ. Совокупно было проанализировано более 250 тыс. Linux-образов; как оказалось, 1652 из них представляют угрозу для пользователей.

Таящиеся опасности эксперты разделили на две группы: вшитые секретные ключи и вредоносные IP-адреса или URL. Наибольшее количество опасных находок ожидаемо пришлось на долю криптомайнеров. Среди идентификационных данных, оставленных в коде — умышленно или по недосмотру, были обнаружены SSH-ключи, учетки AWS, токены GitHub и NPM.

 

Примечательно, что большинство образов, нацеленных на скрытую добычу криптовалюты, были замаскированы под легитимный софт. Авторы вредоносных публикаций использовали популярные имена Liferay, Joomla, Drupal и т. п. в расчете на невнимательность пользователя — и не промахнулись. Так, вредоносный образ vibersastra/golang был скачан 6900 раз, vibersastra/ubuntu — 10 000 раз; оба содержат XMRig и выложены из-под аккаунта Docker Hub, открытого четыре месяца назад.

Результаты исследования включены в годовой отчет Sysdig об облачных угрозах, полнотекстовая версия доступна на сайте компании (требуется регистрация).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru