Множество WordPress-сайтов оказались взломаны благодаря новой уязвимости

Множество WordPress-сайтов оказались взломаны благодаря новой уязвимости

Критическая уязвимость, раскрытая на прошлой неделе разработчиками WordPress уже была использована для взлома тысячи сайтов. Об этом предупреждают специалисты фирмы Sucuri.

Напомним, что 26 января разработчики системы управления контентом WordPress сделали заявление, что в вышедшей версии WordPress 4.7.2 исправлены три уязвимости, включая SQL-инъекции и межсайтовый скриптинг (XSS).

Примерно через неделю разработчики признались, что в версии 4.7.2 исправлен еще один недостаток, позволяющий удалённому атакующему без аутентификации изменить содержимое любой страницы через манипуляцию с REST API. Брешь позволяет злоумышленнику изменять содержание любого поста или страницы на целевом сайте.

По данным Sucuri, многие сайты на WordPress до сих пор не обновлены. По словам экспертов, раскрытие деталей уязвимости стало причиной резкого увеличения количества атак, использующих ее.

В одно из таких вредоносных кампаний злоумышленникам удалось изменить  содержание более 60 000 страниц, добавив туда надпись «Hacked by».

Несмотря на то, что все указывает на причастность к подобным атакам малограмотных хакеров, именуемых скрипткиддиз, эксперты полагают, что уязвимость в дальнейшем будет использоваться очень многими киберпреступниками.

«Мы уже зафиксировали несколько попыток использования эксплоита. Благодаря возможной монетизации, мы предполагаем, что эта уязвимость будет очень популярна у киберпреступников» - объяснил Дэниел Сид, технический директор и основатель Sucuri.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

На Pwn2Own, посвящённом атакам на АСУ ТП, хакерам уже выплатили $180 000

В Майами стартовал Pwn2Own, впервые посвящённый уязвимостям в АСУ ТП. На сегодняшний день исследователи уже получили $180 000 за успешные атаки на пять разных продуктов.

Организатор конкурса — Trend Micro Zero Day Initiative (ZDI) — выделил более $250 000 наличными, а также различные подарки для вознаграждения хакеров.

Исследователям дали задание, согласно которому они должны попробовать взломать восемь целей в пяти различных категориях.

На данный момент отличились две команды специалистов — IT-Security и Flashback, каждая из которых получила по $75 000.

В первый день мероприятия Pwn2Own эксперты совершили шесть удачных попыток взлома, ещё две попытки удались лишь частично. Во второй день хакеры взломали системы три раза, ещё в двух случаях взлом опять удался только отчасти.

С результатами первого дня конкурса можно ознакомиться на YouTube. Приводим ролик здесь:

Напомним, новое исследование PAS показало, что у многих АСУ ТП есть функции и особенности, разработанные без учёта безопасности. По словам экспертов, киберпреступники могут задействовать эти особенности и провести деструктивные атаки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru