Вчера вышел патч для уязвимости нулевого дня в плагине обнаружения мобильного доступа к платформе WordPress. Первые отчеты об эксплуатации itw появились около недели назад.

С обнаружением публичного эксплойта Mobile Detector был изъят из сводной директории плагинов для WordPress. В минувший четверг, с выпуском патча для этого модуля, его прежний статус был восстановлен; пользователям рекомендуется незамедлительно обновиться до версии 3.7.

По данным Sucuri, атаки, использующие новую брешь на сайтах, начались 27 мая. В минувший четверг эта уязвимость была раскрыта на ИБ-сайте Plugin Vulnerabilities сообщества WordPress; согласно описанию, успешный эксплойт позволяет загрузить на сайт произвольные файлы.

Использовать данную уязвимость можно лишь при активной опции allow_url_fopen, которая по умолчанию отключена. «Поскольку активация allow_url_fopen может повлечь подобную проблему, на многих веб-узлах она, похоже, отключена — проверить это можно с помощью функции phpinfo()», — сказано в информационном бюллетене Plugin Vulnerabilities.

По свидетельству Sucuri, текущие атаки проводятся через спам, продвигающий порно. «Использовать данную уязвимость очень просто, для этого нужно лишь запросить toresize.php или timthumb.php (именно так, timthumb, потому что в него включен resize.php) из директории плагинов, указав URL бэкдора», — пишет Дуглас Сантос (Douglas Santos) в блоге Sucuri.

По словам исследователя, причиной возникновения уязвимости в данном случае является отсутствие проверки и санации входных данных из недоверенных источников. «Проверка на безопасность не производится, поэтому атакующий может подать переменную src с вредоносным php-кодом», — поясняет Сантос.

На большинстве атакованных сайтов исследователи обнаружили бэкдоры, внедренные в результате спам-кампании. «В корневом каталоге сайта обычно присутствуют директория gopni3g, содержащая story.php (скрипт, генерирующий страницы-дорвеи), файл .htaccess и подкаталоги со спамовыми файлами и шаблонами» — таков, по свидетельству Сантоса, основной признак заражения. Согласно наблюдениям Sucuri, дорвеи, созданные скриптом story.php, перенаправляют пользователей на hxxp://bipaoeity[.]in/for/77?d=.

Категории: Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *