Злоумышленники используют бреши в плагине YellowPencil, установленном на более чем 30 тыс. сайтов на базе WordPress. Создатель расширения просит владельцев веб-ресурсов срочно установить обновление.

По словам исследователей, за атаками стоят те же преступники, которые в течение последних недель эксплуатировали уязвимости в других расширениях CMS.

Взломанные сайты перенаправляют посетителей на вредоносную веб-страницу. Под угрозой оказались все сайты, на которых используются старые версии расширения. По словам разработчика, в новом релизе YellowPencil — 7.2.0 — проблемы устранены.

Согласно данным WordPress, плагин был удален из репозитория в прошлый понедельник. На следующий день был опубликован пост с подробным описанием двух уязвимостей в расширении. По мнению специалистов Wordfence, злоумышленники не преминули использовать эту информацию.

«Мы наблюдаем большое количество случаев эксплуатации этих багов, — заявили эксперты в прошлый четверг. — Владельцам сайтов, на которых установлен YellowPencil, настоятельно рекомендуем немедленно удалить его со своих веб-ресурсов».

По словам специалистов, первая уязвимость плагина позволяет злоумышленникам повысить свои привилегии в CMS. Для этого они могут использовать файл yellow-pencil.php, одна из функций которого при наличии в запросе параметра yp_remote_get предоставляет атакующим права администратора. Таким образом, преступники могли изменять любые параметры и выполнять нужные действия без прохождения авторизации.

Вторым недостатком являлось отсутствие защиты от межсайтовой подделки запросов, которая могла бы усложнить эксплуатацию первой уязвимости. Эксперты уверены, что кампанию организовали те же преступники, которые атаковали сайты на базе WordPress через дыры в других расширениях: Social Warfare, Easy WP SMTP и Yuzo Related Posts. Это подтверждает IP-адрес домена, который преступники используют в ходе кампаний для размещения вредоносных скриптов.

Категории: Уязвимости, Хакеры