Хакеры бэкдорят WordPress через уязвимый плагин для продажи подарочных карт

Хакеры бэкдорят WordPress через уязвимый плагин для продажи подарочных карт

Владельцев WordPress-сайтов предупреждают о текущих атаках, использующих критическую уязвимость в плагине YITH WooCommerce Gift Cards Premium, которую разработчик закрыл в прошлом месяце. Эксплойт, по данным Wordfence/Defiant, тривиален, не требует аутентификации и позволяет получить полный доступ к сайту.

Названный плагин для WordPress позволяет организовать продажу подарочных карт в интернет-магазинах. Согласно статистике вендора (Your Inspiration Solutions, базируется на Канарах), на счету этого софта более 50 тыс. установок.

Уязвимость CVE-2022-45359 (9,8 балла CVSS) относится к классу «неконтролируемая загрузка файлов». Согласно Wordfence, причиной появления проблемы является некорректная реализация функции import_actions_from_settings_panel, которая к тому же не проверяет полномочия, тип загружаемых файлов и возможность подмены межсайтового запроса (CSRF).

В итоге злоумышленник может без аутентификации загрузить на сервер любой файл, в том числе веб-шелл, удаленно исполнить код и захватить контроль над сайтом. Эксплойт в данном случае предельно прост и выполняется с помощью POST-запроса к /wp-admin/admin-post.php.

Уязвимость, которой подвержены все выпуски YITH WooCommerce Gift Cards Premium до 3.19.0 включительно, была обнародована 22 ноября. Патч включен в состав сборки 3.20.0 (новейшая 3.21.0 тоже его содержит); ввиду актуальности угрозы всем, кто не обновил плагин, рекомендуется сделать это незамедлительно.

Большинство попыток эксплойта было зафиксировано на следующий день после публикации. Второй пик, согласно Wordfence, пришелся на 14 декабря. Атаки ведутся с сотен IP-адресов, наиболее активны два из них — вьетнамский 103[.]138.108.15 (19 604 атаки против 10 936 разных сайтов) и эстонский 188[.]66.0.135 (1220 атаки, 928 сайтов).

Попытку эксплойта можно выявить просмотром логов и проверкой обращений к wp-admin/admin-post.php. Признаком компрометации также может служить присутствие таких файлов:

  • kon.php/1tes.php — копия файлового менеджера Marijuana shell, по сути работающий в памяти бэкдор;
  • b.php — простейший аплоадер;
  • admin.php — запароленный бэкдор.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Москвич уберег пенсионерку от перевода 1,2 млн руб. мошенникам

84-летняя жительница Москвы почти перевела на счет мошенников 1,2 млн рублей, но пенсионерку остановил “сосед” по очереди к банкомату. Молодой человек уговорил женщину не верить звонившим и вызвал полицию.

“Сотрудники правоохранительных органов” позвонили пенсионерке в мессенджер WhatsApp 20 марта. Про историю пишет Baza. Мошенники заявили, что деньги с её счёта в Сбербанке пытаются украсть и выдали инструкцию, как их уберечь. Пожилая москвичка должна была снять все средства и положить наличные на “безопасный” счет.

Аферисты “вели” жертву по телефону всю дорогу до банкомата. Женщину от ошибки спас молодой человек, который пропустил её в очереди к терминалу и заметил на экране телефона сообщения от “Центробанка РФ”.

Мужчина начал объяснять пенсионерке, что она имеет дело с мошенниками. Женщина не могла поверить, а собеседник в трубке требовал, чтобы молодой человек оставил её в покое.

Тот же не отказался от попыток, позвонил в полицию и даже поехал с женщиной в отделение.

Только там пенсионерку удалось убедить в том, что она почти что стала жертвой финансовых мошенников. При этом писать заявление на мошенников она отказалась.

Добавим, в последних трендах у аферистов — поиск дропов (людей, на чьи счета мошенники переводят ворованные деньги) среди бывших жертв собственных же схем. Чаще всего, целью преступников становятся люди старшего поколения, которые до этого уже пострадали от аферистов. Незнание дропа о том, что он стал инструментом обналичивания денег, не освобождает его от уголовной ответственности.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru