Отражены 5 млн атак на WordPress через дыру 0-day в плагине BackupBuddy

Татьяна Никитина 08 Сентября 2022 - 17:24

Домашние пользователи

Малый и средний бизнес

Атаки на сайты

Уязвимости сайтов

Взлом сайтов

...

Отражены 5 млн атак на WordPress через дыру 0-day в плагине BackupBuddy

Патч для опасной уязвимости в коммерческом WordPress-плагине разработки iThemes включен в состав обновления BackupBuddy 8.7.5 и вышел 2 сентября. С конца августа Wordfence (собственность Defiant) зафиксировала около 4,95 млн попыток эксплойта по своей клиентской базе.

По оценке экспертов, в настоящее время плагин, призванный облегчить управление резервным копированием, установлен и работает примерно на 140 тыс. сайтов. Подозрительную активность первыми заметили разработчики BackupBuddy и оперативно выпустили обновление; пользователи сервиса iThemes Sync получили его автоматически.

Уязвимость CVE-2022-31474 (7,5 балла CVSS) актуальна для сборок с 8.5.8.0 по 8.7.4.1. Эксплойт тривиален и позволяет без аутентификации просматривать и загружать с сайта произвольные файлы, которые могут содержать конфиденциальную информацию. Пользователям настоятельно рекомендуется обновить BackupBuddy до новейшей версии.

Из-за текущих атак и простоты использования подробности уязвимости минимальны. В блог-записи Wordfence сказано, что корнем зла является небезопасный способ сохранения резервных копий локально, а точнее, отсутствие проверки прав на загрузку и пути к файлу.

Бэкапы, создаваемые с помощью BackupBuddy, обычно отправляются в облако — в Google Drive, OneDrive, AWS и т. п. Для локального хранения используется опция Local Directory Copy; некорректная реализация этого механизма и стала причиной появления проблемы.

С 26 августа межсетевой экран Wordfence остановил 4 948 926 атак на клиентские сайты через уязвимость CVE-2022-31474. Около 2 млн попыток эксплойта исходило с IP-адреса 195.178.120[.]89 (Нидерланды, AS-провайдер Delis). Остальные внешние серверы в Топ-10 по этому показателю принадлежат Microsoft и расположены в разных странах — Великобритании, США, Швеции, Канаде, Ирландии.

Как выяснилось, авторов большинства атак интересуют следующие файлы:

/etc/passwd
/wp-config.php
.my.cnf
.accesshash

Проверить сайт на предмет компрометации можно просмотром запросов в логах доступа: присутствие параметров local-download и/или local-destination-id, а также полного пути к файлу может свидетельствовать о попытке эксплуатации CVE-2022-31474.

При выявлении взлома iThemes советует сменить пароль к базе данных, соли WordPress и ключи к облачным сервисам в файле wp-config.php. Тем, у кого открыт доступ к phpMyAdmin или WordPress-сервер связан с публичным сервером базы данных, рекомендовано восстановление из бэкапа (созданного до первой попытки несанкционированного доступа, согласно логам). При отсутствии такой возможности придется вручную чистить сайт — с помощью сервиса Hack Repair или своими силами, притом как минимум поискать и удалить подозрительные аккаунты администратора и сбросить пароли остальным админам.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вероника Дубровская 27 Апреля 2024 - 13:51

Windows Общее Microsoft

Microsoft открыла исходный код MS-DOS 4.00, пожирающего оперативку

На этой неделе Microsoft совместно с IBM открыла доступ к исходному коду MS-DOS 4.00 — сборке 1988 года. Эта версия известна своей непопулярностью среди пользователей, ошибками, требовательностью к оперативной памяти и плохой производительностью.

Компания выложила в открытый доступ код MS-DOS 4.00 на страницу Microsoft MS-DOS в GitHub вместе с версиями 1.25 и 2.0, которые пользователи могут скачать еще с 2014 года.

Все версии DOS с открытым исходным кодом были выпущены под лицензией MIT. Предполагалось, что DOS 4.00 должна была добавить многозадачность в ОС, позволяющую запускать программы в фоновом режиме.

Эта версия DOS, которую также иногда называют «MT-DOS» или «Multitasking MS-DOS», была выпущена только несколькими европейскими производителями компьютеров и никогда не была самостоятельным розничным продуктом.

Вышедший на этой неделе исходный код не относится к многозадачной версии DOS 4.00, а специалистам Microsoft не удалось найти полный исходный код для MT-DOS.

Совершенно отдельная версия DOS 4.00 разработана компаниями в основном для добавления дополнительных функций к существующей версии DOS, которая работала на большинстве IBM PC и клонах PC того времени, не обладая при этом многозадачностью.

MS-DOS версий 5.x и 6.x продолжает работать в режиме «одно приложение в одно время», как это было у предыдущих версий. К сожалению, идея многозадачности DOS всё так же не осуществлена. Данная функция стала привилегией графических операционных систем, таких как Windows и OS/2.

Выпущенная версия MS-DOS 4.00 характерна большим потреблением памяти. Она может занимать до 92 КБ RAM, что намного больше, чем 56 КБ, используемых MS-DOS 3.31. Версия 4.01 сократила этот показатель до 86 КБ, а более поздние релизы MS-DOS 5.0 и 6.0 занимали максимум 72 или 73 КБ, и даже PC DOS 2000 от IBM требовала всего 64 КБ.

В те времена это было бы огромной проблемой, так как оперативная память стоила немалых денег, максимальный объем достигал 640 КБ, а виртуальной памяти просто не существовало.

За прошедшие годы компания Microsoft открыла доступ к некоторым другим фрагментам компьютерной истории, включая старые версии MS-DOS, Word for Windows 1.1a, GW-BASIC 1983 года и оригинальный файловый менеджер Windows.

Файловый менеджер Windows, в отличии от других программ, претерпел обновления и сейчас активно поддерживается.

Изначально программа была доработана, чтобы запускаться на современных 64-битных и Arm-компьютерах под управлением Windows 10 и 11, но уже в марте 2024 года ее дополнили новыми исправлениями и функциями.

Отражены 5 млн атак на WordPress через дыру 0-day в плагине BackupBuddy

Читайте также