WordPress 280 tysięcy witryn zaatakowanych przy użyciu luki zero-day

Krytyczna luka bezpieczeństwa eskalacji uprawnień (CVE-2022-3180) umożliwia nieautoryzowanym atakującym dodanie nowego użytkownika z uprawnieniami administratora, celem całkowitego przejęcia witryny WordPress. Specjaliści poinformowali, że w ciągu ostatniego miesiąca zapora sieciowa Wordfence skutecznie zablokowała ponad 4,6 miliona ataków wymierzonych w tę lukę. Ataki dotyczą ponad 280 tysięcy witryn. Chociaż organizacja ujawniła aktywne wykorzystywanie podatności, nie podała dodatkowych informacji dotyczących tych ataków ani szczegółów dotyczących samej luki. Ukrywając te informacje, Wordfence chce zapobiec dalszej eksploatacji podatności. Eksperci zalecają, aby do czasu załatania podatności, użytkownicy usunęli tymczasowo wtyczkę. Aby rozpoznać, czy strona WordPress padła ofiarą ataku, należy zwrócić uwagę na kilka aspektów. Po pierwsze, najczęściej na zaatakowanych witrynach pojawia się nowy użytkownik z uprawnieniami administratora o nazwie „rangex”. Ponadto warto zwrócić uwagę na żądania zapisane w logach.
Żądanie „//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” oznacza, że witryna była celem ataku, niekoniecznie jednak oznacza to udane naruszenie.

Dzień przed pojawieniem się informacji o luce w WPGateway specjaliści z firmy Sansec ustalili, że FishPig – twórca popularnego rozszerzenia WordPressa – Magento, został zhakowany. Napastnicy wstrzyknęli złośliwy kod do kilku rozszerzeń e-commerce FishPig dla Magento. Złośliwy kod zaprojektowano w celu instalacji trojana Rekoobe, który daje napastnikom dostęp do uprawnień administratora sklepu. Zespół bezpieczeństwa Wordfence ostrzegał niedawno także o innej podatności zero-day, tym razem we wtyczce BackupBuddy. Plugin ten pozwala użytkownikom tworzyć kopie zapasowe całych witryn z poziomu pulpitu nawigacyjnego. Luka we wtyczce umożliwiała nieuwierzytelnionym użytkownikom pobranie z zaatakowanej witryny dowolnych plików, także tych zawierających poufne informacje. Badacze z Wordfence zwrócili uwagę, że udało im się zablokować prawie pięć milionów ataków w czasie od 26 sierpnia br. do dnia załatania luki, czyli 2 września. WordPress jest na chwilę obecną jednym z najpopularniejszych systemów CMS, a co za tym idzie, od lat znajduje się na celowniku cyberprzestępców. Za zdecydowaną większość ataków na witryny odpowiedzialne są właśnie przeróżne wtyczki. Rozwijając swoje strony na WordPressie, należy zwracać szczególną uwagę na bieżące aktualizacje motywów, pluginów, a także samego systemu CMS.

Źródło: https://thehackernews.com/2022/09/over-280000-wordpress-sites-attacked.html