Сайты WordPress с плагином WP Automatic подверглись миллионам атак с использованием SQL-инъекций

Хакеры начали использовать критическую уязвимость в плагине WP Automatic для WordPress, чтобы создавать учетные записи пользователей с правами администратора и устанавливать бэкдоры для долгосрочного доступа.
Сайты WordPress с плагином WP Automatic подверглись миллионам атак с использованием SQL-инъекций

Сайты WordPress с плагином WP Automatic подверглись миллионам атак с использованием SQL-инъекций. Фото: СС0

В настоящее время WP Automatic установлен на более чем 30 тыс. веб-сайтов. Он позволяет администраторам автоматизировать импорт контента (например, текста, изображений, видео) из различных онлайн-источников и публикацию на своем сайте WordPress.

Эксплуатируемая уязвимость обозначена как CVE-2024-27956 и получила оценку серьезности 9,9 из 10.

Информация о ней была опубликована исследователями службы устранения уязвимостей PatchStack 13 марта. Ошибка описана как проблема внедрения SQL, которая влияет на версии WP Automatic до 3.9.2.0.

Проблема заключается в механизме аутентификации пользователя плагина, который можно обойти для отправки SQL-запросов в базу данных сайта. Хакеры могут использовать специально созданные запросы для создания учетных записей администратора на целевом веб-сайте.

С тех пор как команда PatchStack раскрыла проблему безопасности, WPScan компании Automattic зафиксировал более 5,5 млн атак с попытками использовать эту уязвимость, большинство из которых было зафиксировано 31 марта.

WPScan сообщает, что после получения доступа администратора к целевому веб-сайту злоумышленники создают бэкдоры и запутывают код, чтобы его было труднее найти.

Из сообщения службы мониторинга:

«После взлома сайта WordPress злоумышленники обеспечивают долговечность своего доступа, создавая бэкдоры и запутывая код. Чтобы не дать другим хакерам скомпрометировать веб-сайт, используя ту же проблему, и избежать обнаружения, хакеры также переименовывают уязвимый файл в «csv.php».»

Получив контроль над веб-сайтом, злоумышленник часто устанавливает дополнительные плагины, позволяющие загружать файлы и редактировать код.

WPScan предоставляет набор индикаторов компрометации, которые могут помочь администраторам определить, был ли взломан их сайт.

Администраторы могут проверить наличие признаков того, что хакеры захватили веб-сайт, проверив наличие учетной записи администратора, начинающейся с «xtw», и файлов с именами web.php и index.php , которые представляют собой бэкдоры, установленные в ходе недавней кампании.

Чтобы снизить риск взлома, исследователи рекомендуют администраторам сайтов WordPress обновить плагин WP Automatic до версии 3.92.1 или более поздней.

WPScan также рекомендует владельцам веб-сайтов часто создавать резервные копии своего сайта, чтобы они могли быстро установить чистые копии в случае взлома.

Упомянутый сервис
WordPress Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.
Система управления содержимым сайта с открытым исходным кодом, Позволяет создавать простые блоги и сложные новостные проекты и интернет-магазины. Доступны темы и плагины.

Больше интересного

Актуальное

NASA и Red Hat создают автономного ИИ-врача для астронавтов: система CMO-DA работает без связи с Землёй
Alibaba ввела полный запрет на использование Claude на фоне обвинений в шпионаже и краже технологий
Контакты Outlook на iOS станут общесистемными: интеграция с Телефоном, Сообщениями и Siri запланирована на январь 2027 года
Ещё…

Популярные теги