Аналитики Wordfence обнаружили, что свежий баг в популярном плагине для WordPress, BackupBuddy, установленном около 140 000 раз, подвергается активным атакам. Начиная с 26 августа 2022 года было зафиксировано около 5 000 000 попыток взлома.
Плагин BackupBuddy позволяет пользователям создавать резервные копии всей своей установки WordPress прямо из панели управления, включая файлы тем, страницы, сообщения, виджеты, пользователей и медиафайлы и так далее.
Уязвимость нулевого дня получила идентификатор CVE-2022-31474 (7,5 балла по шкале CVSS) и затрагивает BackupBuddy версий с 8.5.8.0 по 8.7.4.1. Проблема была устранена в начале сентбяря, с релизом версии 8.7.5.
Исследователи объясняют, что ошибка позволяет неавторизованным сторонам загружать с уязвимого сайта произвольные файлы, которые могут содержать конфиденциальную информацию. Известно, что проблема связана с функцией Local Directory Copy, которая предназначена для хранения локальной копии бэкапов.
«Эта уязвимость позволяет злоумышленнику просмотреть содержимое любого файла на сервере, к которому ваша установка WordPress может получить доступ. Это может быть файл WordPress wp-config.php или, в зависимости от настроек сервера, конфиденциальные файлы, например, /etc/passwd», — предупреждают специалисты.
По данным Wordfence атаки на CVE-2022-31474 начались еще 26 августа 2022 года, и после этой даты было зафиксировано почти пять миллионов попыток взлома. Большинство хакеров пытались прочитать следующие файлы:
- /etc/passwd
- /wp-config.php
- .my.cnf
- .accesshash
Теперь пользователям BackupBuddy настоятельно рекомендуется обновить плагин до последней версии. Если пользователи считают, что могли быть скомпрометированы, рекомендуется немедленно сбросить пароль БД, изменить соли WordPress и ключи API, хранящиеся в wp-config.php.
