Патч для WP-плагина Loginizer автоматом раздали на миллион сайтов

Патч для WP-плагина Loginizer автоматом раздали на миллион сайтов

Патч для WP-плагина Loginizer автоматом раздали на миллион сайтов

Команда, отвечающая за безопасность WordPress, принудительно обновила плагин Loginizer до сборки 1.6.4 у всех пользователей. Обновление содержит патч для опасной уязвимости, позволяющей взломать сайт посредством SQLi-атаки (SQL injection, внедрение SQL-кода). В настоящее время число установок Loginizer превышает 1 миллион.

Этот WP-плагин предназначен для защиты от брутфорса; он по умолчанию включен и ограничивает число попыток регистрации на сайте, блокируя IP-адреса, превысившие заданный лимит. Пользователь Loginizer также может оперировать черными и белыми списками IP, отсеивать боты с помощью тестов reCAPTCHA, ввести двухфакторную аутентификацию или установить беспарольный вход.

Согласно описанию уязвимости, возможность SQLi возникла из-за неадекватной санации входных данных, которые плагин записывает в базу на стороне сервера. Для эксплуатации данной уязвимости злоумышленнику достаточно внедрить SQL-оператор в имя пользователя, которое он вводит при попытке регистрации на сайте.

«Это позволяет без авторизации полностью скомпрометировать WordPress-сайт», — комментирует Райан Дьюхёрст (Ryan Dewhurst), основатель и гендиректор проекта WPScan, регистрирующего уязвимости в ядре CMS-системы, ее темах и плагинах.

Заплатка, включенная в состав сборки 1.6.4 Loginizer, устраняет SQLi, а также обеспечивает дополнительные проверки на случай XSS-атаки.

Ввиду высокой опасности уязвимости и обширности пользовательской базы плагина безопасники WordPress приняли решение принудительно пропатчить все затронутые сайты. Механизм, позволяющий массово произвести обновление, присутствует в WordPress с 2013 года, однако его редко используют — только в тех случаях, когда баг очень опасен и широко распространен. К тому же подобный шаг неизменно вызывает недовольство пользователей, запретивших автоматическую установку обновлений.

ИИ научился клепать клоны Android-приложений почти за копейки

Нейросети могут за несколько минут изменить Android-приложение, пересобрать его и сохранить работоспособность. Причём цена такой операции начинается с 88 копеек, выяснили специалисты Positive Technologies. Эксперимент провели на 90 приложениях разных категорий.

Вредоносный код исследователи не добавляли: они вносили нейтральное изменение и проверяли, продолжит ли программа работать после вмешательства.

Результат получился неприятный. Закрытые коммерческие модели успешно справились с задачей в 84% попыток, модели с открытыми весами — в 61%. В среднем нейросети требовалось 14 итераций и от пяти с половиной до девяти минут.

 

Стоимость одного успешного результата составила от 0,88 до 40,89 рубля. То есть за несколько тысяч рублей потенциальный злоумышленник может попробовать модифицировать сотню популярных приложений.

На практике вместо безобидной правки в APK можно встроить перехват данных, изменить поведение программы или добавить связь с внешним сервером. Затем поддельную сборку легко выдать за оригинал, улучшенную версию или приложение, которое якобы недоступно в официальном магазине.

 

Распространять такие клоны могут через сторонние каталоги, сайты, мессенджеры и тематические сообщества. Особенно уязвимы пользователи, которые привыкли скачивать APK где придётся.

В Positive Technologies отмечают, что ИИ не изобрёл новый вид атаки, но заметно снизил порог входа. То, что раньше требовало времени и навыков реверс-инжиниринга, теперь можно частично поручить нейросети.

Разработчикам советуют защищать код от анализа и изменения, отслеживать появление неофициальных сборок и закладывать безопасность ещё на этапе разработки. Иначе клон приложения может появиться быстрее, чем команда успеет выпустить очередной патч.

RSS: Новости на портале Anti-Malware.ru