Недавно была обнаружена серия атак, эксплуатирующая уязвимости плагинов для CMS WordPress. Как рассказали эксперты из WordFence, тех, кто «попался на крючок» автоматически переправляет на сайты, которые находятся под контролем мошенников.
Скомпрометированы плагины для WordPress, которые были разработаны NicDark (на данный момент Endreww). Такие как Simple 301 Redirects — Addon — Bulk Uploader, Woocommerce User Email Verification, Yellow Pencil Visual Theme Customizer, Coming Soon and Maintenance Mode и Blog Designer.
Уязвимые места выявляются при помощи запросов AJAX. Всегда плагин авторизует nopriv_AJAX, которое отвечает за импорт настроек программы, доступно незарегистрированным людям. В данном случае, пары key->value настроек и значений, которые проходят программный анализ и используются для базы данных того сайта, где имеются необходимые злоумышленникам уязвимости.
Злоумышленники могут использовать уязвимые места в скрипте сайта, чтобы изменить параметры программы, к примеру, чтобы выскакивало окно регистрации в качестве администратора. Хакеры изменяли некоторые настройки, отвечающие за перенаправление пользователей на другие сайты таким образом, чтобы пользователей «перебрасывало» на их собственные веб-сайты.
Для всех плагинов, которые подверглись кибер-атаке, разработчики программы разработали специальные обновления, которые исправили все уязвимые места в коде программы.