Новая волна атак на WordPress: под угрозой must-use плагины

Новая волна атак на WordPress: под угрозой must-use плагины

Новая волна атак на WordPress: под угрозой must-use плагины

Специалисты BI.ZONE WAF фиксируют рост атак на сайты WordPress начиная с февраля 2025 года. Особенно заметно количество атак увеличилось после того, как в конце марта была обнаружена новая уязвимость.

По данным исследования компании Sucuri, результаты которого были опубликованы 28 марта, атаки используют метод подмены содержимого так называемых must-use plugins.

Такие плагины представляют собой PHP-файлы, которые автоматически загружаются системой WordPress без предварительной активации и находятся в специальном каталоге.

Подмена этих файлов дает злоумышленникам широкие возможности, наиболее распространёнными из которых являются:

  • перенаправление посетителей на вредоносные ресурсы и загрузка зловредов;
  • размещение веб-шелла для удалённого доступа и выполнения команд на сервере (бэкдор);
  • внедрение вредоносного JavaScript-кода в страницы сайта.

Эксперты BI.ZONE WAF оценили данную угрозу как критическую, однако официального рейтинга уязвимости от CVSS пока не присвоено, и она отсутствует в базах известных угроз. Большинство защитных решений блокируют лишь последствия эксплуатации этой уязвимости в рамках общих правил безопасности.

Исследователи BI.ZONE WAF уже разработали специализированные детектирующие правила, которые позволяют выявить попытки эксплуатации данной атаки. Компания рекомендует администраторам уделять повышенное внимание изменениям в каталоге must-use plugins (обычно это каталог wp-content/mu-plugins/).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В ARMA Industrial Firewall появилась поддержка протокола СПОДЭС

Группа компаний InfoWatch представила обновление промышленного межсетевого экрана ARMA Industrial Firewall до версии 3.15. Новая версия ориентирована на повышение защиты критической инфраструктуры, в том числе промышленных и энергетических объектов.

Главное нововведение — поддержка промышленного протокола СПОДЭС, разработанного ПАО «Россети» для передачи данных с интеллектуальных приборов учёта электроэнергии.

Благодаря глубокой инспекции этого протокола экран способен контролировать и защищать каналы обмена информацией между оборудованием, что особенно актуально на фоне роста кибератак на энергетическую инфраструктуру.

В числе других изменений — автоматическая загрузка индикаторов компрометации (IoC), предоставляемых ФСТЭК России. Ранее такие данные приходилось вводить вручную, теперь же система может оперативно применять защитные меры по поступающим признакам угроз.

Кроме того, в версии 3.15 улучшены инструменты мониторинга и интеграции: реализовано отслеживание состояния системы по протоколу SNMP, добавлен контроль состояния дисков и доработаны функции управления. Это позволяет быстрее обнаруживать сбои и снижать риски простоев.

По словам представителей компании, развитие линейки ARMA связано с ростом числа атак на промышленные сети и необходимостью адаптации решений под требования российских регуляторов и специфику отрасли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru