Злоумышленники пытаются перехватить контроль над сайтами на базе WordPress через уязвимый плагин Duplicator. Небезопасное обращение программы с резервными копиями позволяет преступникам получить права администратора и заразить интернет-площадку зловредным ПО.

По информации WordPress, Duplicator установлен более чем на 1 млн сайтов. Администраторы используют его, чтобы переносить контент своих сайтов с одного сервера на другой. Как выяснили эксперты Synactiv Томас Шошфуан (Thomas Chauchefoin) и Жюльен Легра (Julien Legras), уязвимость в работе плагина открывает несанкционированный доступ к содержимому онлайн-ресурсов.

В своем отчете специалисты пояснили, что при создании резервной копии Duplicator помещает содержимое сайта в ZIP-архив. Администратору достаточно загрузить его на веб-сервер, запустить файл installer.php или installer-backup.php и авторизоваться для доступа к базе данных. Дальнейшие операции плагин проводит сам и за несколько минут разворачивает содержимое на новой площадке.

Ошибка разработчиков состоит в том, что по завершении процесса Duplicator не удаляет ни архив со старыми данными, ни скрипт для его распаковки. Программа также не проверяет поступающие данные на угрозы и недостаточно защищена от несанкционированного запуска. Все это позволяет неавторизованному пользователю модифицировать копию сайта, а затем поднять ее поверх легитимной, назначить себе права администратора и через сайт проводить на веб-сервере любые операции: копировать и удалять содержимое, внедрять бэкдоры и вредоносный код.

Эксперты отметили, что атака выведет ресурс из строя на время, пока злоумышленник будет подменять оригинальную базу данных на собственную. Однако за время простоя преступник сможет успеть оставить бэкдоры, которые обеспечат ему доступ к веб-серверу даже после того, как администратор поднимет сайт заново. Чтобы избавиться от них, необходимо удалить с сервера все данные.

Разработчики исправили ошибку в версии Duplicator 1.2.42, которая вышла 24 августа. Отчет об уязвимости был опубликован 29 августа и сразу вызвал интерес у киберпреступников. По словам руководителя по киберразведке одного из WordPress-плагинов для ИБ, злоумышленники активно сканируют Интернет в поисках уязвимых файлов Duplicator. Взломанные сайты на базе WordPress часто используются для раскрутки вредоносных ресурсов, кражи данных и криптомайнинга.

Категории: Уязвимости