Исследователи из Defiant (бывшая Wordfence) выявили кампанию по взлому сайтов WordPress посредством эксплуатации уязвимости повышения привилегий в плагине WP GDPR Compliance. Брешь была закрыта на прошлой неделе, однако злоумышленники успели ее обнаружить до выхода патча и продолжают с успехом использовать там, где обновление еще не установлено.

Плагин WP GDPR Compliance помогает обеспечить соответствие сайта Общим правилам по защите данных жителей стран ЕС (GDPR). В настоящее время в Интернете работают свыше 100 тыс. экземпляров этого продукта. Уязвимости подвержены все сборки WP GDPR Compliance ниже 1.4.3, выпуск которой разработчик анонсировал 7 ноября.

Атаки на сайты с использованием уязвимости в этом плагине начались около месяца назад. Расследование, запущенное командой по обеспечению безопасности WordPress, позволило выявить причину взломов; WP GDPR Compliance удалили из официального каталога, а затем вернули — в пропатченном виде.

Инициаторы взломов, по данным Defiant, проводят атаки по двум разным сценариям, но пока с единственной целью — для открытия бэкдора. В первом случае они, используя уязвимость в WP GDPR Compliance, регистрируют новый аккаунт администратора (обычно с именем t2trollherten или t3trollherten) и под этой учетной записью загружают веб-шелл в виде файла wp-cache.php.

Этот скрипт содержит файловый менеджер, эмулятор терминала и исполнитель PHP-функции eval(). По словам исследователей, наличие такого инструмента на сайте позволяет автору атаки развернуть дополнительную полезную нагрузку, когда ему вздумается.

Второй сценарий атаки менее заметен для владельца сайта (появление новой учетной записи тот может быстро обнаружить). Злоумышленники добавляют новую задачу в WP-Cron — встроенный планировщик задач WordPress. Их крон загружает плагин 2MB Autocode, позволяющий внедрять произвольный PHP-код во все записи на сайте. Устанавливаемый с его помощью целевой бэкдор, по словам экспертов, отличен от описанного выше, хотя файл именуется так же — wp-cache.php.

Для сокрытия следов взломщики предусмотрели деактивацию и удаление 2MB Autocode, а также очистку WP-Cron и базы данных от записей, ассоциированных с атакой. Однако из-за допущенной ими программной ошибки плагин, загруженный в ходе атаки, на некоторых сайтах остался, что в итоге позволило найти и устранить уязвимость в WP GDPR Compliance.

Исследователи из Sucuri обнаружили еще один результат эксплойта WP GDPR Compliance. На некоторых сайтах злоумышленники меняют настройки URL в базе данных, задавая значение hxxp://erealitatea[.]net, и ресурсы начинают загружаться из этого домена. WordPress использует опцию siteurl для генерации ссылок на статический контент — скрипты, CSS, изображения. В настоящее время erealitatea[.]net не работает, поэтому все обращающиеся к домену сайты грузятся очень долго и отображаются с ошибками.

Бэкдоры, открытые взломщиками на WordPress-сайтах, пока никак не используются. Не исключено, что плацдарм для дальнейших атак еще не готов, а может быть, инициаторы кампании просто составляют коллекцию взломанных площадок для продажи. В любом случае владельцам сайтов, использующих плагин WP GDPR Compliance, настоятельно рекомендуется его обновить или удалить, а также поискать и вычистить все бэкдоры.

Категории: Главное, Уязвимости