Как и ожидалось, вандалы, использующие отсутствие патча для REST API на сайтах WordPress, в итоге решили, что пора обратить эксплойт в звонкую монету. По оценкам экспертов, к середине февраля количество непропатченных WordPress-сайтов, подвергнутых дефейсу, достигло 1,5 млн. В настоящее время наблюдаются также попытки оставить после взлома ссылки на нелицензированные онлайн-аптеки, свободно торгующие контролируемыми препаратами, покупка которых в данном случае грозит также кражей платежных данных.

Жертвами подобных атак становятся сайты, не обновившиеся до последней версии WordPress (4.7.2). По оценке SiteLock, заработать на фармрекламе уже пытаются около 20 хакеров, которые при этом конкурируют между собой: многократно атакуют одну и ту же мишень, удаляют чужие страницы-заставки и рекламные ссылки, оставленные после дефейса, а также заменяют их своими.

«Эти атаки предельно просты в исполнении, эксплойт активно осваивают скрипт-кидди и веселятся от души, — комментирует Логан Кипп (Logan Kipp) из SiteLock. — Мы различаем порядка 20 злоумышленников, соревнующихся за контроль над сайтами и старающихся переписать чужие результаты дефейса, зачастую с разницей в считаные минуты».

Массовый дефейс уязвимых WordPress начался как тривиальный вандализм с целью похвастаться своим умением, однако эти эскапады быстро переросли в атаки, движимые жаждой наживы. «Это первый случай в нашей практике, когда кто-то пытается получить прибыль по денежной позиции, — говорит собеседник Threatpost. — Они стараются заманить вас на сайты нелицензированных аптек, где велик также шанс кражи номеров кредитных карт. Более чем в 50% случаев это и происходит на таких сайтах».

WordPress attacks - pharmacy ad

Уязвимость в интерфейсе REST API, обнаруженная исследователем из Sucuri, позволяет без аутентификации изменять содержимое сайта и архивные ссылки. Эксплойт в данном случае осуществляется с помощью одной строки кода, рабочие образцы которого уже растиражированы и доступны в Интернете. «Он очень прост в исполнении, — отметил Кипп. — По нашим наблюдениям, в настоящее время им пользуются 20 хакеров, осуществляющих по 100 и более дефейсов за один прием, и они уже пытаются с его помощью получить прибыль. Такой исход был неизбежен».

Уязвимость, о которой идет речь, была привнесена в WordPress 4.7 в декабре прошлого года. Патч для нее стал доступен в начале текущего месяца, с выпуском WordPress 4.7.2, однако в анонсе его умышленно не упомянули: разработчики были заинтересованы в том, чтобы важная заплатка установилась на возможно большем количестве сайтов, хотя бы на тех, где включено автообновление. По оценке SiteLock, в настоящее время данная уязвимость не закрыта на 15–20% сайтов, использующих WordPress. «Если не ставить патч, исправить положение легко: как и в случае с XSS, нужно попросту наладить санацию значений, поступающих через API-контроллер, — свидетельствует Кипп. — Это поможет нейтрализовать проблему».

По данным двухнедельной давности, число дефейсов, связанных с уязвимостью в REST API, за двое суток возросло с десятков тысяч более чем до 800 тыс. Столь взрывной рост случаев эксплойта исследователи из WordFence, компании — производителя одноименного ИБ-плагина для WordPress, объясняют тем, что злоумышленники нашли способы обхода правил, реализованных WordFence и другими защитниками. По данным WordFence, на тот момент лишь двум из 20 наблюдаемых групп хакеров удалось осуществить дефейс порядка 700 тыс. раз.

«Уязвимость в ядре платформы — большая редкость, — резюмирует Кипп. — Это действительно весьма серьезно, но проблема была решена оптимальным образом, и патч появился в кратчайшие сроки. Большинство пользователей не пострадали».

Категории: Аналитика, Главное, Уязвимости, Хакеры