Эксперты Wordfence Threat Intelligence нашли WordPress-плагин, угрожающий утечками данных и потерей контроля над сайтом. Разработчики уязвимой надстройки не выходят на связь, поэтому специалисты рекомендуют администраторам не ждать патча, а просто удалить ее со своих ресурсов.

Проблемы обнаружились в плагине Total Donations, который позволяет владельцам сайтов принимать деньги от посетителей. Уязвимость нулевого дня CVE-2019-6703 присутствует во всех версиях расширения. По словам экспертов, злоумышленники уже применяют ее в атаках — брешь нашли в ходе расследования одной из них.

Аналитик обратил внимание на подозрительную AJAX-активность, когда восстанавливал взломанный сайт. Отмечается, что обнаружить ее удалось из-за ошибки преступника — если бы взломщик использовал в коде другие атрибуты, его действия могли бы остаться незамеченными.

Эксперт быстро отследил нежелательные действия до Total Donations. Дальнейшее изучение позволило определить в его коде около 90 уникальных AJAX-функций, доступных неавторизованным пользователям через уязвимую конечную точку. Более половины этих команд можно использовать, чтобы просмотреть закрытые данные, поменять настройки сайта или перехватить контроль над ним.

Так, функции migla_getme и miglaA_update_me позволяют удаленно регистрировать новых пользователей со статусом администратора. Именно эти команды использовались в кампании, которую изначально изучали эксперты. Другие небезопасные опции позволяют перехватывать поступающие платежи, менять настройки почтовых рассылок, просматривать закрытые публикации и черновые записи. Преступник может даже организовать DoS-атаку, используя автоматическую отправку электронных писем на произвольный адрес.

По словам экспертов, они отправили информацию о брешах разработчику Total Donations — компании Calmar Webmedia, однако организация не ответила на письма. Ее страница на портале WordPress заполнена жалобами пользователей на отсутствие поддержки, а на домашнем сайте с мая прошлого года висит плашка «Технические работы».

В связи с этим специалисты призывают веб-мастеров удалить опасный плагин. Простое отключение Total Donations не решает проблему — уязвимый скрипт остается доступным даже при неработающей надстройке.

Опасные WordPress-плагины регулярно попадают в сводки ИБ-новостей. В ноябре эксперты показали, как угнать интернет-магазин через комбинацию брешей в таком ПО и самой CMS-платформы. До этого уязвимости обнаружились в программе для резервного копирования Duplicator — надстройка с более чем 1 млн загрузок позволяла скомпрометировать сайт и проводить с ним любые операции.

Категории: Аналитика, Уязвимости