Опасная уязвимость с годовым стажем до сих пор угрожает WordPress

Олег Иванов 17 Августа 2018 - 13:14

Домашние пользователи

...

Серьезная уязвимость движка WordPress, которая оставалась непропатченной целый год, угрожает бесчисленным сайтам, которые работают на этой CMS. Об этом сообщил исследователь в области безопасности Сэм Томас из компании Secarma.

О наличии такой серьезной бреши Томас сообщил в ходе конференции BSides, посвященной кибербезопасности.

Специалист заявил, что злоумышленники используют PHP-фреймворк WordPress, что может привести к полной компрометации системы.

В случае если на домене разрешена загрузка файлов, атакующий может загрузить файл миниатюры для запуска действий с этим файлов посредством «phar://». А эксплойт, в свою очередь, использует недостатки eXternal Entity (XXE — XML) и Server Side Request Forgery (SSRF), которые вызывают десериализацию в коде платформы.

Эти недостатки, изначально не такие опасные, могут стать одной из ступеней к более серьезным атакам, в ходе которых злоумышленник может удаленно запустить код.

Как объясняет исследователь, основной уязвимости еще даже не присвоен идентификатор CVE, она находится в функции wp_get_attachment_thumb_file в файле /wpincludes/post.php. Ошибка может быть использована, когда атакующий получает контроль над параметром, используемым в вызове «file_exists».

WordPress используется миллионами веб-ресурсов, следовательно, у этой уязвимости очень хорошие шансы поразить огромное количество жертв, если киберпреступники будут использовать ее в «дикой природе».

Как заявили в Secarma, разработчиков CMS поставили в известность еще в феврале 2017 года. Однако до сих пор надлежащих мер так и не было принято. Технические детали уязвимости доступны по этой ссылке.

Напомним, что в прошлом месяце 10 000 взломанных сайтов WordPress стали причиной тысяч заражений. Исследователи из Check Point раскрыли инфраструктуру и методы масштабной вредоносной кампании, в рамках которой злоумышленники распространяли злонамеренные криптомайнеры, программы-вымогатели и банковские трояны.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 19 Января 2026 - 14:57

Соответствие законодательству РФ Корпорации Сетевая безопасность Соответствие требованиям регуляторов NGENIX

NGENIX представила аттестованное облако для банков и онлайн-сервисов

Компания NGENIX объявила о запуске нового продукта — «Аттестованного публичного облака». Это облачное решение для защиты публичных веб-ресурсов, построенное на выделенной и дополнительно защищённой инфраструктуре, прошедшей аттестацию по требованиям российских регуляторов и международных стандартов.

Новый сервис ориентирован на организации, для которых критично соблюдение требований по защите персональных и платёжных данных.

В первую очередь речь идёт о финансовом секторе — банках, микрофинансовых организациях, брокерах и страховых компаниях. Для них облако NGENIX может использоваться как часть защищённой ИТ-среды, соответствующей требованиям ГОСТ 57580.1, что упрощает выполнение нормативов ЦБ РФ и снижает затраты на аттестацию собственной инфраструктуры.

Для интернет-магазинов, платных сервисов и других участников платёжной системы «МИР» облако аттестовано по PCI DSS, что является обязательным условием для обработки платёжных данных и взаимодействия с банками-эквайерами.

Кроме того, продукт рассчитан на операторов персональных данных: информационная система облака соответствует требованиям Приказа ФСТЭК №21 (уровень защищённости УЗ-2), что позволяет легально использовать его для защиты веб-ресурсов с персональными данными.

С точки зрения функциональности «Аттестованное публичное облако NGENIX» закрывает сразу несколько задач. В их числе — защита от DDoS-атак на сетевом и прикладном уровнях (L3 и L7), противодействие нелегитимному автоматизированному трафику, обеспечение отказоустойчивости и защиты DNS, а также сглаживание пиков нагрузки за счёт CDN-механизмов.

Инфраструктура решения изначально проектировалась с учётом требований информационной безопасности. Аттестованные мощности размещены в трёх независимых дата-центрах в Москве, а взаимодействие между узлами платформы защищено с использованием ГОСТ-криптографии и сертифицированных ФСБ аппаратных криптошлюзов. В систему безопасности также входят IDS/IPS и централизованный сбор и анализ событий в SIEM. Управление сервисами и доступом осуществляется через клиентский портал NGENIX EdgeSec Multidesk с разграничением прав пользователей.

Как отметил генеральный директор NGENIX Константин Чумаченко, запуск аттестованного облака стал ответом на запрос со стороны российских организаций, которым важно сочетать преимущества облачной защиты с формальным соответствием требованиям регуляторов и платёжных систем. По его словам, новый продукт позволяет использовать облачные механизмы защиты веб-ресурсов без необходимости идти на компромиссы с нормативной базой.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »