Сайты WordPress с плагином WP Automatic подверглись миллионам атак с использованием SQL-инъекций

Хакеры начали использовать критическую уязвимость в плагине WP Automatic для WordPress, чтобы создавать учетные записи пользователей с правами администратора и устанавливать бэкдоры для долгосрочного доступа.

Сайты WordPress с плагином WP Automatic подверглись миллионам атак с использованием SQL-инъекций. Фото: СС0

В настоящее время WP Automatic установлен на более чем 30 тыс. веб-сайтов. Он позволяет администраторам автоматизировать импорт контента (например, текста, изображений, видео) из различных онлайн-источников и публикацию на своем сайте WordPress.

Эксплуатируемая уязвимость обозначена как CVE-2024-27956 и получила оценку серьезности 9,9 из 10.

Информация о ней была опубликована исследователями службы устранения уязвимостей PatchStack 13 марта. Ошибка описана как проблема внедрения SQL, которая влияет на версии WP Automatic до 3.9.2.0.

Проблема заключается в механизме аутентификации пользователя плагина, который можно обойти для отправки SQL-запросов в базу данных сайта. Хакеры могут использовать специально созданные запросы для создания учетных записей администратора на целевом веб-сайте.

С тех пор как команда PatchStack раскрыла проблему безопасности, WPScan компании Automattic зафиксировал более 5,5 млн атак с попытками использовать эту уязвимость, большинство из которых было зафиксировано 31 марта.

WPScan сообщает, что после получения доступа администратора к целевому веб-сайту злоумышленники создают бэкдоры и запутывают код, чтобы его было труднее найти.

Из сообщения службы мониторинга:

«После взлома сайта WordPress злоумышленники обеспечивают долговечность своего доступа, создавая бэкдоры и запутывая код. Чтобы не дать другим хакерам скомпрометировать веб-сайт, используя ту же проблему, и избежать обнаружения, хакеры также переименовывают уязвимый файл в «csv.php».»

Получив контроль над веб-сайтом, злоумышленник часто устанавливает дополнительные плагины, позволяющие загружать файлы и редактировать код.

WPScan предоставляет набор индикаторов компрометации, которые могут помочь администраторам определить, был ли взломан их сайт.

Администраторы могут проверить наличие признаков того, что хакеры захватили веб-сайт, проверив наличие учетной записи администратора, начинающейся с «xtw», и файлов с именами web.php и index.php , которые представляют собой бэкдоры, установленные в ходе недавней кампании.

Чтобы снизить риск взлома, исследователи рекомендуют администраторам сайтов WordPress обновить плагин WP Automatic до версии 3.92.1 или более поздней.

WPScan также рекомендует владельцам веб-сайтов часто создавать резервные копии своего сайта, чтобы они могли быстро установить чистые копии в случае взлома.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме:

Упомянутый сервис

WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.