Отражены 5 млн атак на WordPress через дыру 0-day в плагине BackupBuddy

Отражены 5 млн атак на WordPress через дыру 0-day в плагине BackupBuddy

Отражены 5 млн атак на WordPress через дыру 0-day в плагине BackupBuddy

Патч для опасной уязвимости в коммерческом WordPress-плагине разработки iThemes включен в состав обновления BackupBuddy 8.7.5 и вышел 2 сентября. С конца августа Wordfence (собственность Defiant) зафиксировала около 4,95 млн попыток эксплойта по своей клиентской базе.

По оценке экспертов, в настоящее время плагин, призванный облегчить управление резервным копированием, установлен и работает примерно на 140 тыс. сайтов. Подозрительную активность первыми заметили разработчики BackupBuddy и оперативно выпустили обновление; пользователи сервиса iThemes Sync получили его автоматически.

Уязвимость CVE-2022-31474 (7,5 балла CVSS) актуальна для сборок с 8.5.8.0 по 8.7.4.1. Эксплойт тривиален и позволяет без аутентификации просматривать и загружать с сайта произвольные файлы, которые могут содержать конфиденциальную информацию. Пользователям настоятельно рекомендуется обновить BackupBuddy до новейшей версии.

Из-за текущих атак и простоты использования подробности уязвимости минимальны. В блог-записи Wordfence сказано, что корнем зла является небезопасный способ сохранения резервных копий локально, а точнее, отсутствие проверки прав на загрузку и пути к файлу.

Бэкапы, создаваемые с помощью BackupBuddy, обычно отправляются в облако — в Google Drive, OneDrive, AWS и т. п. Для локального хранения используется опция Local Directory Copy; некорректная реализация этого механизма и стала причиной появления проблемы.

С 26 августа межсетевой экран Wordfence остановил 4 948 926 атак на клиентские сайты через уязвимость CVE-2022-31474. Около 2 млн попыток эксплойта исходило с IP-адреса 195.178.120[.]89 (Нидерланды, AS-провайдер Delis). Остальные внешние серверы в Топ-10 по этому показателю принадлежат Microsoft и расположены в разных странах — Великобритании, США, Швеции, Канаде, Ирландии.

Как выяснилось, авторов большинства атак интересуют следующие файлы:

  • /etc/passwd
  • /wp-config.php
  • .my.cnf
  • .accesshash

Проверить сайт на предмет компрометации можно просмотром запросов в логах доступа: присутствие параметров local-download и/или local-destination-id, а также полного пути к файлу может свидетельствовать о попытке эксплуатации CVE-2022-31474.

При выявлении взлома iThemes советует сменить пароль к базе данных, соли WordPress и ключи к облачным сервисам в файле wp-config.php. Тем, у кого открыт доступ к phpMyAdmin или WordPress-сервер связан с публичным сервером базы данных, рекомендовано восстановление из бэкапа (созданного до первой попытки несанкционированного доступа, согласно логам). При отсутствии такой возможности придется вручную чистить сайт — с помощью сервиса Hack Repair или своими силами, притом как минимум поискать и удалить подозрительные аккаунты администратора и сбросить пароли остальным админам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Контроль 24/7: Ростелеком и Солар обновили сервис мониторинга утечек данных

«Ростелеком» совместно с группой компаний «Солар» обновил сервис, который позволяет отслеживать утечки персональных данных. Теперь он работает круглосуточно и сразу сообщает абоненту, если его данные оказались в открытом доступе. Это помогает вовремя отреагировать и снизить риск мошенничества или других проблем.

Проверке можно подвергнуть не только информацию из личного кабинета, но и до пяти дополнительных номеров телефона или адресов электронной почты.

Если данные «всплывают» в сети, пользователь получает уведомление, а вместе с ним — рекомендации, например, поменять пароли или принять другие меры.

В отчёте, который формируется при срабатывании сервиса, указывается источник утечки, дата инцидента и тип скомпрометированной информации — при этом личные данные маскируются. Это помогает понять, что именно оказалось под угрозой и насколько серьёзна ситуация.

Скоро у абонентов «Ростелекома» появятся и дополнительные инструменты для онлайн-защиты.

По словам представителей компаний, с такими сервисами пользователи могут не только узнавать о потенциальных угрозах, но и вовремя принимать меры. В условиях, когда утечки данных стали обычным делом, это особенно важно — как для самих пользователей, так и для их близких.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru