Хакеры эксплуатируют серьезную уязвимость в популярном плагине Elementor Pro для WordPress, который установлен более чем на 11 млн сайтов. Обнаруженная в марте уязвимость затрагивает версию 3.11.6 и все предшествующие, позволяя авторизованным пользователям (покупатели магазина или участники сайта) изменять настройки ресурса или полностью перехватить контроль над ним.
Проблема была обнаружена исследователем NinTechNet Джеромом Брюанде (Jerome Bruandet) 18 марта 2023 года, и эксперт уже поделился техническими подробностями бага и рассказал, как его можно использовать.
Брюанде пишет, что уязвимость связана с нарушением контроля доступа к модулю плагина в WooCommerce (elementor-pro/modules/woocommerce/module.php), что позволяет любому желающему изменять параметры в базе данных без надлежащей проверки. То есть для использования уязвимости, на сайте должен быть установлен плагин WooCommerce, который задействует соответствующий уязвимый модуль в Elementor Pro.
Эксплуатация уязвимости происходит через уязвимый AJAX action pro_woocommerce_update_page_option, где плохо реализована проверка ввода и отсутствует проверка возможностей.
«Аутентифицированный злоумышленник может использовать уязвимость для создания учетной записи администратора, включив регистрацию и сделав ролью по умолчанию administrator, может изменить адрес электронной почты администратора или изменить siteurl, перенаправив весь трафик на удаленный вредоносный сайт», — рассказывает эксперт.
Специалисты компании PatchStack, специализирующейся на безопасности WordPress, предупредили, что хакеры уже активно используют эту уязвимость, чтобы перенаправлять посетителей на вредоносные домены (away[.]trackersline[.]com) или загружать бэкдоры на взломанные ресурсы.
Эксперты говорят, что бэкдор, обнаруженный при изучении этих атак, называется wp-resortpark.zip, wp-rate.php или lll.zip. Большинство атак, нацеленных на уязвимые сайты, исходят с трех IP-адресов: 193.169.194.63, 193.169.195.64 и 194.135.30.6.
Хотя подробностей о бэкдорах пока немного, издание Bleeping Computer сообщает, что образец архива lll.zip содержит PHP-скрипт, позволяющий удаленному злоумышленнику загружать дополнительные файлы на скомпрометированный сервер. Журналисты подчеркивают, что такой бэкдор позволит злоумышленнику получить полный доступ к сайту на WordPress, например, для кражи данных или установки дополнительной малвари.
Всем администраторам сайтов, где используется плагин Elementor Pro, необходимо как можно скорее обновить его до исправленной версии 3.11.7 или более поздней (последняя доступная версия — 3.12.0). Все предыдущие версии уязвимы.
