Новая вредоносная кампания нацелена на плагины для WordPress ( 1 фото )

Жертв перенаправляют на подконтрольные злоумышленникам web-сайты.

На днях была обнаружена вредоносная кампания, эксплуатирующая уязвимости в некоторых плагинах для WordPress. По словам исследователей из Wordfence, жертв перенаправляют на подконтрольные злоумышленникам web-сайты.

Кампания нацелена на плагины для WordPress, разработанные NicDark (теперь Endreww), такие как Simple 301 Redirects — Addon — Bulk Uploader, Woocommerce User Email Verification, Yellow Pencil Visual Theme Customizer, Coming Soon and Maintenance Mode и Blog Designer.

Уязвимости эксплуатируются с помощью AJAX-запросов. В каждом случае плагин регистрирует ответственное за импорт настроек WordPress действие nopriv_AJAX, доступное неавторизованным пользователям. В этих запросах пары key->value параметров и значений WordPress анализируются и применяются непосредственно к базе данных уязвимого сайта.

Злоумышленники могут использовать уязвимости для изменения произвольных параметров WordPress, например, для включения регистрации в качестве пользователя-администратора. Операторы кампании изменяли настройки «siteurl» и «home» целевого web-сайта и перенаправляли посетителей на собственные ресурсы. Уязвимые версии плагина Simple 301 Redirects – Addon – Bulk Uploader всегда проверяют наличие параметра «submit_bulk_301». Наличие параметра позволяет обрабатывать загруженный CSV-файл и использовать его для импорта большого набора путей сайтов и точек перенаправления.

Для всех затронутых плагинов для WordPress разработчики выпустили обновления, исправляющие уязвимости.