ИБ-исследователи заметили вредоносную активность, направленную на популярный плагин Better Search Replace для WordPress. Только за последние сутки были обнаружены тысячи попыток атак на свежую уязвимость CVE-2023-6933, найденную в плагине на прошлой неделе.
Better Search Replace начитывает более миллиона установок и помогает выполнять операции поиска и замены в БД при миграции сайтов на новые домены или серверы. Администраторы используют его для поиска и замены определенного текста в базе данных или обработки сериализованных данных. Плагин предоставляет варианты выборочной замены, поддерживает WordPress Multisite, а также имеет опцию тестового запуска, чтобы убедиться, что все работает штатно.
На прошлой неделе для Better Search Replace вышла версия 1.4.5, в которой исправили критическую уязвимость, связанную с инжектами PHP-объектов, получившую идентификатор CVE-2023-6933.
Проблема связана с десериализацией недоверенных входных данных и позволяет неаутентифицированным злоумышленникам осуществлять внедрение PHP-объектов. Успешная эксплуатация бага может привести к выполнению кода, предоставить доступ к конфиденциальным данным, позволит изменить или удалять файлы, а также спровоцировать возникновение бесконечного цикла отказов в обслуживании (DoS).
Уязвимость затрагивает все версии Better Search Replace до 1.4.4. Пользователям настоятельно рекомендуется как можно скорее обновиться до версии 1.4.5.
В описании уязвимости на трекере Wordfence сказано, что сам Better Search Replace не уязвим напрямую, но может использоваться для выполнения кода, получения конфиденциальных данных или удаления файлов, если другой плагин или тема на том же сайте содержат цепочку Property Oriented Programming (POP).
Как сообщают аналитики Wordfence, хакеры уже обратили внимание не свежую проблему, так как только за последние 24 часа компания заблокировала более 2500 атак, нацеленных на CVE-2023-6933 в системах клиентов. И хотя исследователи отмечают, что часть атак могла относиться к другим проблемам (например, CVE-2023-25135), большинство инцидентов было связано именно с попытками эксплуатации CVE-2023-6933.
