Специалисты Wordfence обнаружили масштабную атаку на WordPress-сайты. Злоумышленники активно ищут ресурсы, использующие в работе темы с Epsilon Framework, которые могут быть уязвимы перед рядом проблем типа function injection, что в итоге может приводить к полной компрометации ресурса.
По данным компании, неизвестные хакеры уже произвели около 7 500 000 атак более чем на 1 500 000 сайтов, стремясь отыскать потенциально уязвимые ресурсы. Сообщается, что эти атаки исходят с 18 000 разных IP-адресов.
Хотя уязвимости в темах, использующих Epsilon Framework, могут вести к полному захвату контроля над сайтом, а применение цепочки эксплоитов заканчивается удаленным выполнением произвольного кода (RCE), текущие атаки – это лишь «прощупывание почвы».
«В настоящее время мы не сообщаем дополнительных подробностей об этих атаках, в силу того, что используемый [хакерами] эксплоит пока находится в разработке, и из-за использования большого количества IP-адресов. Эти атаки используют POST-запросы к admin-ajax.php и не оставляют отдельных записей в логах, хотя они видны в Wordfence Live Traffic», — пишут инженеры Wordfence.
Множество тем для WordPress, использующих Epsilon Framework, уязвимы перед этими атакам. Исследователи приводят следующий список тем и версий:
Shapely (1.2.7);
NewsMag (2.4.1);
Activello (1.4.0);
Illdy (2.1.4);
Allegiant (1.2.2);
Newspaper X (1.3.1);
Pixova Lite (2.0.5);
Brilliance (1.2.7);
MedZone Lite (1.2.4);
Regina Lite (2.0.4);
Transcend (1.1.8);
Affluent (1.1.0);
Bonkers (1.0.4);
Antreas (1.0.2);
NatureMag Lite (1.0.5).
Владельцам и администраторам сайтов, на которых работают уязвимые версии перечисленных тем, рекомендуется немедленно обновить их до исправленной версии, если таковая доступна. Если же патча нет, следует как можно быстрее переключиться на использование другой темы.
