Согласно подсчетам специалистов, примерно 35% всех сайтов в интернете работают на базе WordPress CMS. В этом свете совсем неудивительно, что атаки на уязвимые плагины для WordPress становятся настоящим трендом среди злоумышленников, особенно если учесть, что нехватки «дырявых» плагинов не наблюдается.
Хотя 2019 год стал для администраторов WordPress-сайтов напряженным, начало 2020 года выдалось тихим. Вероятно, причиной этого простоя могли быть зимние каникулы, так как хакеры тоже иногда отдыхают. Однако в последние недели атаки на WordPress возобновились, и, как сообщают эксперты компаний Wordfence, WebARX и NinTechNet, непродолжительное затишье, по всей видимости, закончилось. Как и ранее, в основном атаки злоумышленников направлены на эксплуатацию уязвимостей в различных плагинах, но не в самой CMS. Ниже перечислим, какие плагины находятся под активными атаками.
Согласно отчету Wordfence, с середины февраля хакеры атакуют уязвимость в плагине Duplicator, который позволяет администраторам сайтов экспортировать содержимое их ресурсов и существенно облегчает «переезд» с одного сервера на другой. Ошибка была исправлена в версии 1.3.28 и позволяла злоумышленникам экспортировать копию сайта, откуда хакеры могли извлечь учетные данные БД, а затем взломать MySQL. Проблема отягощается тем, что на момент начала атак плагин насчитывал более миллиона установок, а Duplicator Pro, коммерческая версия плагина, была установлена еще 170 000 раз.
Также, по данным Wordfence, как минимум две хак-группы эксплуатируют проблему в бесплатных и профессиональных версиях плагина Profile Builder. Ошибка позволяет злоумышленникам создавать новые учетные записи администраторов на уязвимых сайтах. Хотя баг был исправлен 10 февраля 2020 года, атаки начались 24 февраля, в тот же день, когда в сети был опубликован PoC-эксплоит. В настоящее время для атак уязвимы порядка 65 000 сайтов, на которых установлен плагин.
Продолжаются атаки и на уязвимости в продуктах ThemeGrill Demo Importer и ThemeREX Addons. Первый плагин установлен на более чем 200 000 сайтов, и уязвимость позволяет атакующим стирать чужие сайты, а также, если БД содержит пользователя с именем admin, атакующий может получить доступ к этой учетной записи и все соответствующие права. Баг во втором плагине так же позволяет создавать новые учетные записи администраторов на уязвимых сайтах, и невзирая на продолжающиеся атаки, патча для него до сих пор нет.
Под прицелом злоумышленников оказались и сайты с плагином Flexible Checkout Fields для WooCommerce, установленный на более чем на 20 000 ресурсов. В данном случае хакеры использовали уже исправленную XSS-уязвимость нулевого дня, которая позволяла создавать учетные записи администраторов на уязвимых сайтах. Несмотря на выход патча атаки продолжались и в конце февраля (1, 2).
Еще одна активная кампания эксплуатирует три похожих уязвимости нулевого дня, обнаруженных в плагинах Async JavaScript, 10Web Map Builder for Google Maps и Modern Events Calendar Lite. Эти плагины установлены на 100 000, 20 000 и 40 000 сайтов, соответственно. Все три 0-day бага относились к числу stored XSS и все три уже получили исправления, однако атаки начались еще до выхода патчей, а значит, некоторые сайты, скорее всего, были скомпрометированы.