Аналитики из Wordfence, компании-разработчика одноименного защитного плагина, обнаружили признаки атаки на WordPress-сайты через три сторонних продукта. Расследование показало, что все эти плагины содержат ранее не известную уязвимость, эксплуатация которой позволяет установить бэкдор и захватить контроль над сайтом.

Данная брешь нулевого дня, выявленная в плагинах Appointments, RegistrationMagic-Custom Registration Forms и Flickr Gallery, была идентифицирована как возможность внедрения объекта PHP. «Эта уязвимость позволяет автору атаки спровоцировать сайт на загрузку файла (php-бэкдора) с удаленного ресурса и сохранение его в каком-либо месте по своему выбору, — гласит запись в блоге Wordfence. — При этом не нужны ни аутентификация, ни повышенные привилегии».

Установить причину появления вредоносного файла оказалось непросто. «Казалось, он появился из ниоткуда, и даже сайты, регистрирующие доступ, показывали лишь POST-запрос к /wp-admin/admin-ajax.php в момент создания этого файла», — пишут исследователи.

Тщательный просмотр данных службы Wordfence позволил зафиксировать факт атаки, а затем реконструировать эксплойт и создать соответствующие правила WAF (фильтрации для защиты веб-приложений от эксплойта на уровне межсетевого экрана). Новые WAF-правила были сразу же принудительно спущены пользователям премиум-версии Wordfence (остальным придется производить обновление вручную). Разработчики уязвимых продуктов получили уведомления и уже выпустили патчи.

Данная уязвимость была признана критической и оценена в 9,8 балла по шкале CVSS v3.0. Проблема была решена выпуском новых сборок:

  • Appointments 2.2.2,
  • RegistrationMagic-Custom Registration Forms 3.7.9.3,
  • Flickr Gallery 1.5.3.

Первый WordPress-плагин по состоянию на середину сентября насчитывал более 9 тыс установок, за вторым в конце сентября числилось свыше 4 тыс загрузок, для третьего этот показатель неделю назад составлял более 8 тысяч.

Категории: Главное, Кибероборона, Уязвимости