Исследователь Майки Винстра (Mikey Veenstra) сообщил о новом витке развития активной вредоносной кампании на WordPress. Злоумышленники, которые ранее атаковали уязвимые плагины, чтобы показывать нежелательные рекламные баннеры и привлекать трафик на мошеннические сайты, теперь создают на взломанных ресурсах фейковые аккаунты администратора.

XSS-атаки через JavaScript-модуль

О текущей кампании ИБ-специалисты сообщили в июле. Злоумышленники внедряли на сайты JavaScript-компонент, который загружал код с внешних URL-адресов (метод межсайтового скриптинга). При открытии страницы этот код определял, какое устройство использует посетитель, и в зависимости от результата перенаправлял его на рекламный или вредоносный ресурс.

По словам экспертов, в результате жертвы могли попасть на сайты с ложной техподдержкой, вредоносными Android-приложениями или рекламой лекарственных препаратов и порнографии.

В последние две недели преступники добавили в свой арсенал еще одну функцию — теперь зловред проверяет, нет ли у текущего посетителя прав администратора. Если таковые обнаруживаются, скрипт использует аккаунт жертвы, чтобы создать новую учетную запись с максимальным уровнем доступа. Это обеспечивает операторам возможность управлять скомпрометированным ресурсом, красть пользовательские данные и размещать на веб-сервере новое зловредное ПО.

Уязвимые WordPress-плагины

Исследователи опубликовали список из 10 плагинов, чьи уязвимости используются в нынешней кампании:

  • BoldPage Builder (CVE-2019-15821) — баг в версиях до 3.2 позволяет неавторизованному пользователю выполнять действия от имени администратора.
  • BlogDesigner — XSS-уязвимость в версиях до 8.12 угрожает несанкционированным изменением настроек.
  • LiveChat with Facebook Messenger — позволяет неавторизованному пользователю сохранять код в одной из функций WordPress. Уязвимы версии плагина ниже 4.7.
  • Редактор стилей CSS Yellow Pencil (CVE-2019-11886)— плагины до версии 2.1 позволяют взломщикам получить права администратора.
  • WPLive Chat Support (CVE-2018-18460, CVE-2019-9913) — в плагинах версии до 0.18 некорректно обрабатываются определенные системные запросы.
  • HybridComposer — вплоть до версии 4.7 плагин позволял изменять функции WordPress без должной аутентификации.
  • YuzoRelated Posts (CVE-2019-11869) — после обнаружения XSS-уязвимости безопасная версия так и не появилась, плагин заблокирован в репозитории WordPress, но остается работать на многих ресурсах.
  • FormLightbox — также удален из каталога WordPress; содержит баг, позволяющий менять функции в базе данных WordPress. Может привести к повышению привилегий до администраторских.
  • Все плагины NicDark— серия различных багов, также позволяющих повысить привилегии.

Владельцам сайтов рекомендуется не только обновить или удалить уязвимые плагины, но и проверить список администраторов своего ресурса и избавиться от аккаунтов, которые они не создавали. В частности, стоит обратить внимание на учетную запись wpservices (зарегистрирована на адрес wpservices@yandex.com).

Ранее специалисты обнаружили уязвимость в WordPress-плагине, который установлен на 800 тыс. сайтов. Баг позволял злоумышленникам внедрять сторонний код, похищать конфиденциальные данные и брать сайт под свой контроль.

Категории: Уязвимости, Хакеры