Хакеры бэкдорят WordPress через уязвимый плагин для продажи подарочных карт
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Хакеры бэкдорят WordPress через уязвимый плагин для продажи подарочных карт

Татьяна Никитина 26 Декабря 2022 - 15:37
...
Хакеры бэкдорят WordPress через уязвимый плагин для продажи подарочных карт

Владельцев WordPress-сайтов предупреждают о текущих атаках, использующих критическую уязвимость в плагине YITH WooCommerce Gift Cards Premium, которую разработчик закрыл в прошлом месяце. Эксплойт, по данным Wordfence/Defiant, тривиален, не требует аутентификации и позволяет получить полный доступ к сайту.

Названный плагин для WordPress позволяет организовать продажу подарочных карт в интернет-магазинах. Согласно статистике вендора (Your Inspiration Solutions, базируется на Канарах), на счету этого софта более 50 тыс. установок.

Уязвимость CVE-2022-45359 (9,8 балла CVSS) относится к классу «неконтролируемая загрузка файлов». Согласно Wordfence, причиной появления проблемы является некорректная реализация функции import_actions_from_settings_panel, которая к тому же не проверяет полномочия, тип загружаемых файлов и возможность подмены межсайтового запроса (CSRF).

В итоге злоумышленник может без аутентификации загрузить на сервер любой файл, в том числе веб-шелл, удаленно исполнить код и захватить контроль над сайтом. Эксплойт в данном случае предельно прост и выполняется с помощью POST-запроса к /wp-admin/admin-post.php.

Уязвимость, которой подвержены все выпуски YITH WooCommerce Gift Cards Premium до 3.19.0 включительно, была обнародована 22 ноября. Патч включен в состав сборки 3.20.0 (новейшая 3.21.0 тоже его содержит); ввиду актуальности угрозы всем, кто не обновил плагин, рекомендуется сделать это незамедлительно.

Большинство попыток эксплойта было зафиксировано на следующий день после публикации. Второй пик, согласно Wordfence, пришелся на 14 декабря. Атаки ведутся с сотен IP-адресов, наиболее активны два из них — вьетнамский 103[.]138.108.15 (19 604 атаки против 10 936 разных сайтов) и эстонский 188[.]66.0.135 (1220 атаки, 928 сайтов).

Попытку эксплойта можно выявить просмотром логов и проверкой обращений к wp-admin/admin-post.php. Признаком компрометации также может служить присутствие таких файлов:

  • kon.php/1tes.php — копия файлового менеджера Marijuana shell, по сути работающий в памяти бэкдор;
  • b.php — простейший аплоадер;
  • admin.php — запароленный бэкдор.
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.