Баг WordPress-плагина GDPR Compliance использовался в реальных атаках

Баг WordPress-плагина GDPR Compliance использовался в реальных атаках

Баг WordPress-плагина GDPR Compliance использовался в реальных атаках

Злоумышленники использовали критическую уязвимость в плагине GDPR Compliance для WordPress в реальных атаках. С помощью этой бреши киберпреступники получали полный контроль над атакуемыми сайтами. Плагин GDPR Compliance довольно популярен — более 100 000 активных инсталляций.

GDPR Compliance помогает администраторам сайтов на WordPress соответствовать принятому в мае Общему регламенту по защите данных (General Data Protection Regulation, GDPR). Он поддерживает такие плагины, как Contact Form, Gravity Forms, WordPress Comments и WooCommerce.

Недавно киберпреступники обнаружили, что GDPR Compliance содержит ряд проблем безопасности, позволяющих получить контроль над уязвимыми сайтами. Согласно команде Wordfence, бреши могут быть использованы не прошедшими аутентификацию злоумышленниками для создания новой учетной записи администратора.

Специалисты Wordfence зафиксировали два типа кибератак, использующих GDPR Compliance. Чаще всего атакующие модифицировали настройки таким образом, чтобы разрешить регистрацию новых пользователей. После этого они наделяли новых пользователей правами администратора.

Стоит отметить интересную функцию эксплойта — он возвращал настройки в первоначальное состояние сразу после того, как были созданы аккаунты с правами администратора. В Wordfence полагают, что эта возможность была реализована с целью скрыть вектор проникновения.

Далее киберпреступники входили на сайт под администраторским аккаунтом и загружали веб-шелл на PHP, который позволял им получить полный контроль над скомпрометированным сайтом.

Также Wordfence наблюдали процесс загрузки бэкдора путем внедрения вредоносных действий в WP-Cron. Эта техника несколько сложнее, однако позволяет злоумышленникам прочно поселить бэкдор на сайте.

7 ноября разработчики GDPR Compliance выпустили версию 1.4.3, в которой проблемы безопасности должны быть устранены.

В Битрикс24 добавили вход по коду из электронной почты

В облачной версии «Битрикс24» появился ещё один вариант двухфакторной аутентификации: теперь подтверждать вход можно с помощью кода, отправленного на электронную почту.

Ранее пользователям были доступны одноразовые коды из приложения-аутентификатора, пуш-уведомления и СМС.

Новый способ пригодится компаниям, где сотрудники по разным причинам не используют отдельные приложения для 2FA или не всегда могут получить сообщение на телефон.

Двухфакторная аутентификация добавляет к логину и паролю ещё один этап проверки. Даже если злоумышленник получил учётные данные через фишинговое письмо, утечку или звонок от имени «техподдержки», войти в аккаунт без дополнительного кода будет сложнее.

При этом электронная почта как второй фактор требует осторожности. Если злоумышленник уже контролирует почтовый ящик пользователя, такой способ защиты не поможет. Поэтому для наиболее важных аккаунтов надёжнее использовать приложение-аутентификатор или подтверждение на отдельном устройстве.

В ближайшее время аналогичная функция должна появиться и в коробочной версии «Битрикс24». Кроме того, компания планирует сделать двухфакторную аутентификацию обязательной для организаций на облачных тарифах «Профессиональный» и «Энтерпрайз».

RSS: Новости на портале Anti-Malware.ru