Злоумышленникам приглянулась уязвимость, позволяющая без аутентификации изменять контент и пропатченная в WordPress 4.7.2: по оценке экспертов, число страниц, скомпрометированных посредством использования этой бреши, уже достигло 1,5 млн.

Данная проблема — «одна из худших уязвимостей в WordPress, появившихся в последнее время», как пишут исследователи из сиэтлской компании WordFence, являющейся разработчиком одноименного ИБ-плагина. Патч для уязвимости повышения привилегий в REST API был включен в состав выпуска WordPress 4.7.2, анонсированного 26 января, однако этот факт был предан гласности лишь через шесть дней, чтобы дать возможность обновиться тем сайтам, на которых включен автоматический режим.

По словам исполнительного директора WordFence Марка Мондера (Mark Maunder), пик хакерской активности, связанной с данной уязвимостью, пришелся на 9 февраля. В этот день эксперты зарегистрировали около 13 тыс. попыток эксплойта, ассоциированных с 20 разными киберкампаниями. Это значительный рост: за несколько дней до этого Sucuri сообщила о четырех текущих кампаниях и 66 тыс. случаев дефейса.

Мондер полагает, что в начале недели хакеры оттачивали технику обхода правила, реализованного WordFence и другими компаниями. WordFence довольно быстро создала новое правило, чтобы предотвратить обход, однако за двое суток атакующие все же успели взломать еще 800 тыс. сайтов.

Примечательно, что иногда хакеры в своем рвении сталкиваются лбами на одном и том же сайте. Так, экспертам попалось несколько сайтов, на страницах которых похозяйничали разные дефейсеры, причем каждый считал себя первопроходчиком. Мондер полагает, что подобные атаки и повторные дефейсы будут продолжаться до тех пор, пока все не установят патч, включенный в состав WordPress 4.7.2.

REST API Defaced Pages - WordFence

В ходе одной из кампаний, которую в WordFence именуют MuhmadEmad, атакующим удалось скомпрометировать более 350 тыс. страниц. Каждый раз они оставляли на сайте файл krd.html и почти всегда заменяли домашнюю страницу изображением флага Курдистана с надписью «KurDish HaCk3rS WaS Here» (искаженное «Здесь были курдские хакеры»), набранной шрифтом Comic Sans.

Дэниел Сид (Daniel Cid) из Sucuri по-прежнему убежден, что вандализм на WordPress-сайтах вскоре сменится чем-то еще, так как в нем нет финансовой выгоды для хакеров. В новой блог-записи эксперт отметил, что Sucuri зафиксировала несколько попыток удаленного исполнения команд с использованием уязвимости в REST API. Эти попытки пока ограничены сайтами, на которых работают плагины вроде Insert PHP или Exec-PHP, позволяющие вносить код PHP непосредственно в постинги. В комбинации с багом в REST API эта возможность дает атакующему шанс на исполнение PHP-кода при внедрении контента в базу данных.

«Дефейсы не дают дохода, поэтому они, скорее всего, быстро прекратятся, — пишет Сид. — А попытки исполнить команды (RCE) останутся, так как это дает атакующим полный контроль над сайтом, который можно по-разному монетизировать, и открывает возможность для внедрения SEO-спама, партнерских ссылок и рекламы. Такие попытки обнаружены пока на нескольких сайтах, однако не исключено, что такой способ использования данной уязвимости станет трендом в ближайшие дни, недели, а возможно, и месяцы».

Обе компании призывают пользователей WordPress, в особенности уязвимых версий 4.7 и 4.7.1, произвести обновление до 4.7.2.

Категории: Аналитика, Главное, Уязвимости, Хакеры