Хакеры используют 0-day в плагине Easy WP SMTP для угона админ-аккаунта
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Хакеры используют 0-day в плагине Easy WP SMTP для угона админ-аккаунта

Татьяна Никитина 14 Декабря 2020 - 17:04
...
Хакеры используют 0-day в плагине Easy WP SMTP для угона админ-аккаунта

Злоумышленники автоматизируют атаки на сайты WordPress, пытаясь сбросить пароль администратора с помощью эксплойта для уязвимости нулевого дня в плагине Easy WP SMTP. Заплатка для этой бреши уже выпущена, пользователям рекомендуется как можно скорее обновить расширение до сборки 1.4.4.

Плагин Easy WP SMTP призван обеспечить отправку email-сообщений с сайта через сторонний сервер SMTP. В настоящее время его используют более 500 тыс. сайтов на WordPress. Наличие уязвимости 0-day подтверждено для выпусков 1.4.2 и ниже.

Согласно описанию на сайте Ninja Technologies Network (NinTechNet), проблема вызвана ненадежным хранением записей о email-событиях. Функциональность Easy WP SMTP позволяет создавать такие записи в журнале отладки и сохранять их в папке установки плагина. Поскольку в этой папке отсутствует файл index.html (он был добавлен только в версии 1.4.3), злоумышленники имеют возможность просматривать связанные с email записи на серверах с включенной опцией вывода каталогов.

Авторы наблюдаемых атак вначале пытаются определить логин администратора перебором ходовых вариантов с использованием REST API либо путем просмотра архива авторов сайта. Получив искомое, они заходят на страницу регистрации и отсылают запрос на смену пароля. Поиск соответствующего события в логах Easy WP SMTP позволяет злоумышленникам скопировать ссылку для сброса пароля, сгенерированную в ответ на запрос, и использовать ее для захвата аккаунта.

 

Все действия в рамках этой схемы, по свидетельству NinTechNet, автоматизированы — и подбор логина, и отправка запроса на сброс пароля, и поиск нужной записи в логах. Разработчики Easy WP SMTP закрыли эту возможность, переместив журнал отладки в папку логов WordPress и скрыв имя файла.

На настоящий момент неизвестно, сколько сайтов уязвимо к эксплойту. Функция автообновления плагинов и тем WordPress уже доступна, но далеко не все ею пользуются. Ввиду текущих атак владельцев сайтов призывают проверить версию используемого Easy WP SMTP и при необходимости обновить его в кратчайшие сроки.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Эксперт: подозрительны переводы свыше ₽100 тыс. и частые — более 30 в день
Татьяна Никитина 11 Ноября 2025 - 16:27
МошенничествоДроп (дроппер) Домашние пользователи
Эксперт: подозрительны переводы свыше ₽100 тыс. и частые — более 30 в день

Сотрудник Банки.ру пояснила для «Прайм», чем руководствуются банки, запуская проверку переводов физлиц в рамках борьбы с мошенничеством. Внимание прежде всего могут привлечь крупные суммы, свыше 100 тыс. руб. в день и более 1 млн в месяц.

Характерными сигналами работы дропа также являются частота операций по списанию / зачислению средств (чаще 30 в сутки) и большое количество адресатов.

Однако в реальности таких признаков, по словам аналитика, намного больше, и банки рассматривают их в совокупности. Поведение клиента может быть сочтено подозрительным, если счет используется лишь для переводов, и обычные платежи (ЖКХ, покупки, налоги и штрафы) по нему не проводятся.

«Очень быстрая переадресация только что зачисленных средств не выглядит как обычная бытовая финансовая активность и означает, что счет служит коридором для передачи денег дальше», — отметила также Эряния Бочкина.

Чтобы не выйти за рамки нормального профиля клиента банка и не попасть в черный список Банка России, эксперт советует россиянам сохранять свидетельства происхождения денег на счете, избегать множественных переводов, ограничить круг получателей денежных средств и не перекидывать деньги сразу по их получении — даже на собственные счета.

Напомним, дропперство в России теперь признано преступлением, за которое могут посадить на три года. Для снижения уровня мошенничества и активности дроперов в стране также с декабря могут ограничить число банковских карт, выдаваемых в одни руки, — до 20-ти, а в одной кредитно-финансовой организации — до пяти.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Банк России определил критерии сомнительных операций для снятия наличных
Новость
Банк России определил критерии сомнительных операций для сня...
Российский рынок MSSP может удвоиться и превысить 54 млрд руб. к 2028 году
Новость
Российский рынок MSSP может удвоиться и превысить 54 млрд ру...
Еще одна турецкая авиакомпания ограничила провоз пауэрбанков
Новость
Еще одна турецкая авиакомпания ограничила провоз пауэрбанков

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.