Массовые атаки на свежую уязвимость в WordPress REST API, исправленную в конце января 2017 года, продолжаются. На прошлой неделе мы рассказывали, что по данным компании WordFence, уязвимость привлекла внимание как минимум 20 хакерских групп, которым удалось скомпрометировать более 1,5 млн страниц.
В настоящий момент количество пострадавших страниц перевалило за два миллиона, а атаки постепенно становятся серьезнее, как и прогнозировали специалисты.
Напомню, что свежая уязвимость была устранена с выходом WordPress 4.7.2, еще 26 января 2017 года. Баг обнаружили специалисты компании Sucuri, и они описывают его как неавторизованную эскалацию привилегий через REST API. Уязвимости подвержены версии 4.7.0 и 4.7.1. Однако публичное раскрытие информации о проблеме состоялось только неделю спустя, так как разработчики хотели, чтобы как можно больше сайтов спокойно установили обновления,
Уязвимость позволяет неавторизованному атакующему сформировать специальный запрос, при помощи которого можно будет изменять и удалять содержимое любого поста на целевом сайте. Кроме того, используя шорткоды плагинов, злоумышленник может эксплуатировать и другие уязвимости CMS, которые обычно недоступны даже пользователям с высокими привилегиями. В итоге атакующий может внедрить на страницы сайта SEO-спам, рекламу, и даже исполняемый PHP-код, все зависит от доступных плагинов.
Эксперты компании Sucuri заметили, что от простых дефейсов злоумышленники перешли к попыткам удаленного выполнения произвольного кода. Для этих целей хакеры используют плагины Insert PHP (100 000+ установок), Exec-PHP (100 000+ установок) и им подобные. Такие плагины позволяют внедрять PHP-код в посты, чтобы сделать кастомизацию проще.
Исследователи пишут, что теперь дефейс-сообщения хакеров содержат шорткоды для вышеупомянутых плагинов. То есть добавив к своим дефейсам PHP-код, злоумышленники могут добиться его выполнения. В блоге компании эксперты приводят следующий пример, замеченный ими в ходе изучения атак:
Данный пример приводит к скачиванию бэкдора FilesMan и его установке в директорию /wp-content/uploads/.
Теперь специалисты Sucuri рекомендуют администраторам отключить все потенциально опасные плагины и обновиться до WordPress 4.7.2, если они по какой-то причине еще этого не сделали. Исследователи поясняют, что такие атаки – это способ монетизации уязвимости. Тогда как обычными дефейсами много не заработаешь, размещение бекдора на сервере жертвы позволяет злоумышленникам вернуться позже, даже после устранения оригинальной уязвимости, и разместить на скомпрометированном ресурсе SEO-спам, рекламу или малварь.
Телеграм-канал «Провод» опубликовал историю одного из пользователей, который решил проверить, что происходит с его MacBook. Судя по опубликованному скриншоту, главным подозреваемым в загрузке процессора оказался российский мессенджер МАКС.
По словам автора, приложение умудрилось загрузить процессор почти до предела.
В статистике системы указано, что процесс МАКС потреблял до 94% одного ядра процессора. Для сравнения, большинство популярных мессенджеров обычно ограничиваются нагрузкой в пределах 10-30%.
Пользователь утверждает, что приложение продолжало расходовать заряд аккумулятора и нагревать устройство даже в фоновом режиме. Согласно данным системного мониторинга, за время работы МАКС накопил около 33 часов фоновой активности.
Особое внимание автора привлекла ещё одна цифра — более 1,15 ГБ данных, прочитанных приложением с диска. Что именно мессенджер так активно считывал, остаётся неизвестным.
Впрочем, пока речь идёт лишь об отдельных сообщениях пользователей. Разработчики МАКС ситуацию официально не комментировали, а независимого технического анализа работы приложения на момент публикации не появилось.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
