Отражены 5 млн атак на WordPress через дыру 0-day в плагине BackupBuddy

Татьяна Никитина 08 Сентября 2022 - 17:24

Домашние пользователи

Малый и средний бизнес

Атаки на сайты

Уязвимости сайтов

Взлом сайтов

...

Отражены 5 млн атак на WordPress через дыру 0-day в плагине BackupBuddy

Патч для опасной уязвимости в коммерческом WordPress-плагине разработки iThemes включен в состав обновления BackupBuddy 8.7.5 и вышел 2 сентября. С конца августа Wordfence (собственность Defiant) зафиксировала около 4,95 млн попыток эксплойта по своей клиентской базе.

По оценке экспертов, в настоящее время плагин, призванный облегчить управление резервным копированием, установлен и работает примерно на 140 тыс. сайтов. Подозрительную активность первыми заметили разработчики BackupBuddy и оперативно выпустили обновление; пользователи сервиса iThemes Sync получили его автоматически.

Уязвимость CVE-2022-31474 (7,5 балла CVSS) актуальна для сборок с 8.5.8.0 по 8.7.4.1. Эксплойт тривиален и позволяет без аутентификации просматривать и загружать с сайта произвольные файлы, которые могут содержать конфиденциальную информацию. Пользователям настоятельно рекомендуется обновить BackupBuddy до новейшей версии.

Из-за текущих атак и простоты использования подробности уязвимости минимальны. В блог-записи Wordfence сказано, что корнем зла является небезопасный способ сохранения резервных копий локально, а точнее, отсутствие проверки прав на загрузку и пути к файлу.

Бэкапы, создаваемые с помощью BackupBuddy, обычно отправляются в облако — в Google Drive, OneDrive, AWS и т. п. Для локального хранения используется опция Local Directory Copy; некорректная реализация этого механизма и стала причиной появления проблемы.

С 26 августа межсетевой экран Wordfence остановил 4 948 926 атак на клиентские сайты через уязвимость CVE-2022-31474. Около 2 млн попыток эксплойта исходило с IP-адреса 195.178.120[.]89 (Нидерланды, AS-провайдер Delis). Остальные внешние серверы в Топ-10 по этому показателю принадлежат Microsoft и расположены в разных странах — Великобритании, США, Швеции, Канаде, Ирландии.

Как выяснилось, авторов большинства атак интересуют следующие файлы:

/etc/passwd
/wp-config.php
.my.cnf
.accesshash

Проверить сайт на предмет компрометации можно просмотром запросов в логах доступа: присутствие параметров local-download и/или local-destination-id, а также полного пути к файлу может свидетельствовать о попытке эксплуатации CVE-2022-31474.

При выявлении взлома iThemes советует сменить пароль к базе данных, соли WordPress и ключи к облачным сервисам в файле wp-config.php. Тем, у кого открыт доступ к phpMyAdmin или WordPress-сервер связан с публичным сервером базы данных, рекомендовано восстановление из бэкапа (созданного до первой попытки несанкционированного доступа, согласно логам). При отсутствии такой возможности придется вручную чистить сайт — с помощью сервиса Hack Repair или своими силами, притом как минимум поискать и удалить подозрительные аккаунты администратора и сбросить пароли остальным админам.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 14:50

Эксплойты Шпионские программы Программы слежения Уязвимости программ Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство BI.ZONE

Кибершпионы в России переключились на НИОКР и инженерные предприятия

Доля кибератак на российские организации, совершаемых с целью шпионажа, заметно выросла. По данным портала киберразведки BI.ZONE Threat Intelligence, в 2025 году на шпионские операции пришлось уже 37% атак (против 21% годом ранее). Иными словами, если раньше шпионской была примерно каждая пятая атака, то теперь — уже почти каждая третья.

При этом госсектор остаётся для таких группировок целью номер один. На органы государственного управления приходится 27% атак шпионских кластеров.

Но интерес злоумышленников всё чаще смещается и в сторону науки и технологий. Доля атак на организации, связанные с НИОКР, за год выросла вдвое — с 7% до 14%.

Как отмечает руководитель BI.ZONE Threat Intelligence Олег Скулкин, рост доли шпионских атак почти в полтора раза стал одним из ключевых трендов 2025 года. По его словам, специалисты наблюдают более 100 кластеров, нацеленных на Россию и страны СНГ, и около 45% из них — это именно шпионские группировки.

Интересно, что такие кластеры сильно различаются по уровню подготовки. В одних случаях злоумышленники применяют технически сложные инструменты, но выдают себя плохо составленными фишинговыми письмами. В других — атаки относительно простые, зато адаптированы под локальный контекст и выглядят максимально правдоподобно.

Так, во второй половине декабря 2025 года группировка Rare Werewolf атаковала научно-исследовательское и производственное предприятие оборонно-промышленного комплекса. Жертве отправили письмо якобы с коммерческим предложением на поставку и монтаж сетевого оборудования — от имени сотрудника научно-производственного центра беспилотных систем.

Во вложении не было классических зловредов. Вместо этого использовались легитимные инструменты: AnyDesk для удалённого доступа, 4t Tray Minimizer для скрытия окон и утилита Blat — для незаметной отправки похищенных данных. Такой подход позволяет дольше оставаться незамеченными и обходить системы защиты.

Впрочем, легитимными программами дело не ограничивается. Почти все шпионские кластеры активно применяют зловред собственной разработки. Новые самописные инструменты помогают обходить средства защиты и закрепляться в инфраструктуре на длительное время.

Кроме того, такие группировки, как правило, не стеснены в ресурсах. Они могут позволить себе покупку дорогостоящих эксплойтов, включая 0-day. Ранее специалисты BI.ZONE фиксировали атаки кластера Paper Werewolf, который, предположительно, приобрёл на теневом форуме эксплойт к уязвимости в WinRAR за 80 тысяч долларов.

Судя по динамике, кибершпионаж становится всё более системным и профессиональным — и явно не собирается сдавать позиции.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »