Хакеры активно используют уязвимые плагины WordPress для атак на сайты

Все больше и больше хакеров используют последние уязвимости безопасности, обнаруженные недавно при атаке плагинов WordPress. Киберпреступники нацелены на тех владельцев веб-сайтов, которые не обновляют свои плагины и по-прежнему используют старые версии уязвимых версий.

Это делают несколько групп хакеров. На данный момент экспертам по безопасности известно как минимум две группы, которые атакуют неисправленные версии плагинов Profile Builder, ThemeGrill Demo Importer и Duplicator.

Это довольно популярные плагины, установленные на многих сайтах. По оценкам, существует несколько сотен тысяч веб-сайтов, которые могут быть взломаны из-за того, что их владельцы не обновили эти три плагина.

Все вышеупомянутые плагины имеют одну общую черту. Исследователи безопасности недавно поделились отчетами о критических ошибках безопасности, обнаруженных в этих плагинах, которые могут привести к компрометации веб-сайта.

Один из злоумышленников, которого эксперты по безопасности называют Tonyredball, получает доступ к веб-сайтам WP, на которых есть уязвимая версия:

ThemeGrill Demo Importer (ниже версии 1.6.3) Уязвимость позволяет любому пользователю войти в систему как администратор и стереть всю базу данных.

Profile Builder (ниже версии 3.1.1) Эта ошибка также позволяет пользователям, не прошедшим проверку подлинности, получить права администратора.

Группа Тониредбол
Эксперты по безопасности из Defiant отмечают, что группа Tonyredball использует ошибку регистрации администратора в плагине Profile Builder, используя веб-запросы, содержащие адрес электронной почты и имя пользователя новой учетной записи администратора.

В то же время эксперты считают, что эта хакерская группа занимается многими другими атаками, использующими ошибку удаления базы данных, обнаруженную в плагине ThemeGrill Demo Importer.

Причина массового использования ThemeGrill Demo Importer, вероятно, заключается в простоте этого. От злоумышленников требуется только отправить запрос на атаку уязвимого сайта через плагины WordPress. А в случае Profile Builder злоумышленникам придется приложить более серьезные усилия, поскольку они должны сначала найти уязвимую форму.

Конечным результатом эксплуатации обеих уязвимостей является получение прав администратора и возможность доступа к сайту жертвы. Как только доступ получен, с помощью загрузчиков тем и плагинов хакеры загружают свои вредоносные скрипты в панель управления WordPress.

Злоумышленники используют несколько типов скриптов, связанных с такими именами файлов, как wp-block-plugin.php, blockspluginn.php, supersociall.php и wp-block-plugin.php.

После первоначальной эксплуатации злоумышленники доставляют дополнительные полезные нагрузки, предназначенные для заражения большего количества файлов и расширения присутствия на сайте. Кроме того, исследователи заметили, что авторы вредоносных программ начинают искать другие сайты WP, уязвимые для того же метода эксплуатации.

Во многих случаях злоумышленники внедряют вредоносный код в законные файлы JavaScript. Цель этого шага — загрузить еще один скрипт с другого сервера, который будет перенаправлять посетителей на вредоносные веб-сайты, контролируемые киберпреступниками.

На данный момент этот редирект легко заметить и он не изощрен, но злоумышленники могут модифицировать свой скрипт, чтобы он был намного хитрее.

В одном случае посетители были перенаправлены на веб-сайт под названием Talktofranky, который просил нажать «Разрешить» во всплывающем уведомлении браузера, чтобы доказать, что они настоящие люди, а не боты. Если посетители делали это, они разрешали сайту отправлять различные уведомления, в том числе спам.

Это может выглядеть как незначительная угроза, но владельцы устройств Mac, которые нелегко взломать, часто становятся жертвами таких уловок. Например, пользователи оказались перенаправлены на мошеннические сайты, такие как A.akamaihd.net.

Исследователи безопасности обнаружили на одном из онлайн-форумов обсуждение этой ситуации, предполагающее, что жертв довольно много.

Что интересно, все атаки группы Tonyredball происходят с одного IP -45.129.96.17. Он расположен в Эстонии и выделен местному хостинг-провайдеру GMHost. Этот провайдер хорошо известен своей плохой политикой, которая привлекает многих киберпреступников к размещению у него. Этот провайдер просто не реагирует на жалобы.

Не очень ясно, сколько веб-сайтов WordPress может быть повреждено из-за уязвимых плагинов. По оценкам исследователей, плагин Profile Builder может быть установлен примерно на 37 тысячах сайтов, а ThemeGrill Demo Importer — примерно на 40 тысячах сайтов.

Группа Solarsalvador1234
Еще одна группа, которая кажется более сложной, называется Solarsalvador1234. Исследователи из Defiant назвали его так, потому что это имя адреса электронной почты, часто используемого в веб-запросах, которые приводили к эксплуатации.

Этот злоумышленник также нацелен на два вышеупомянутых плагина, но в дополнение к ним группа Solarsalvador1234 имеет в своем списке плагин Duplicator. Этот плагин WordPress помогает клонировать и переносить веб-сайт из одного места в другое. У него более миллиона активных установок!

Сообщается, что версии Duplicator ниже 1.3.28 имеют уязвимость в системе безопасности, которая позволяет посетителям, не прошедшим проверку подлинности, загружать различные файлы с целевых веб-сайтов.

Эта ошибка часто используется для получения файла конфигурации сайта-жертвы — wp-config.php, в котором хранятся учетные данные пользователя для доступа к базе данных. Основная цель — получить расширенные и долгосрочные возможности входа на взломанный сайт.

Таким образом, используя эти три уязвимости в системе безопасности, злоумышленники в конце концов получают полный административный доступ к веб-сайтам жертв. Важно напомнить, что эти уязвимости уже публично раскрыты и исправлены.

В случае взлома владельцы веб-сайтов должны винить себя за то, что они не соблюдали передовые методы безопасности и не обновляли атакующие плагины WordPress вовремя. Основываясь на последних статистических данных, исследователи безопасности считают, что около 800 тысяч веб-сайтов все еще используют неисправленную версию Duplicator.

Есть много причин полагать, что упомянутые выше три уязвимых плагина — не единственные, которые эксплуатируются.

Опять же, владельцы веб-сайтов должны помнить, что после выпуска любого обновления безопасности их приоритетом должна быть его установка, поскольку все больше и больше хакеров атакуют веб-сайты WordPress, быстро находя и используя все новые и старые недостатки безопасности.