Уязвимости нулевого и первого дня в популярных плагинах для WordPress уже находятся под атаками. С их помощью злоумышленники создают новые учтенные записи администратора и захватывают сайты.
Аналитики ИБ-компании Wordfence предупредили, что злоумышленники эксплуатируют уязвимость нулевого дня в плагине ThemeREX Addons, который поставляется вместе со всеми коммерческими темами компании ThemeREX. Данный плагин помогает пользователям продукции ThemeREX создавать новые сайты и контролировать различные настройки тем. По оценкам Wordfence, он установлен на более чем 44 000 сайтов.
Проблема заключается в том, что плагин настраивает эндпойнт WordPress REST-API, но не проверяет, от авторизованных ли пользователей (то есть от владельца сайта) поступают команды, отправляемые на этот REST API. В итоге оказывается, что удаленный код может быть выполнен любым желающим, даже если тот не прошел аутентификацию на сайте. Хуже того, злоумышленники получают возможность создать новую учетную запись администратора, что и наблюдали специалисты в ходе атак, начавшихся 18 февраля 2020 года.
Эксперты призвали пользователей срочно удалить ThemeREX Addons версий старше 1.6.50, и не пользоваться плагином до выхода патча.
Однако проблемы могут возникнуть не только у пользователей ThemeREX Addons. Еще один проблемный плагин под атаками, это ThemeGrill Demo Importer, о котором мы рассказывали на днях. Такие атаки называют атаками на уязвимость первого дня, то есть на совсем свежий, недавно устраненный баг.
Напомню, что из-за уязвимости удаленные и неаутентифицированные злоумышленники имеют возможность отправить на сайт специальный пейлоад, при помощи которого будет задействована определенная функция плагина. Так, в продукте ThemeGrill есть функция, которая полностью обнуляет весь контент на сайте, эффективно стирая все содержимое ресурса с активной темой ThemeGrill и заменяя его демонстрационными данными. Кроме того, если БД сайта содержит пользователя с именем admin, атакующий может получить доступ к этой учетной записи и все соответствующие права.
По информации WebARX и судя по сообщениям, опубликованным в Twitter, хакеры уже начали эксплуатировать уязвимость в продукте ThemeGrill. Причем пока атаки носят нарочито деструктивный характер, то есть хакеры стремятся не захватить контроль над ресурсом, но хотят стереть БД сайтов и уничтожить данные. Специалисты советуют пользователям обновиться как можно скорее, установив обновленную версию плагина (1.6.2).