Suicide
12.11.2018, 22:27
https://media.kasperskycontenthub.com/wp-content/uploads/sites/32/2018/11/12050625/WordPress-backdoor-680x400.jpg
Исследователи из Defiant (бывшая Wordfence) выявили (https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/) кампанию по взлому сайтов WordPress посредством эксплуатации уязвимости повышения привилегий в плагине WP GDPR Compliance. Брешь была закрыта на прошлой неделе, однако злоумышленники успели ее обнаружить до выхода патча и продолжают (https://www.wordfence.com/blog/2018/11/trends-following-vulnerability-in-wp-gdpr-compliance-plugin/) с успехом использовать там, где обновление еще не установлено.
Плагин WP GDPR Compliance помогает обеспечить соответствие сайта Общим правилам по защите данных жителей стран ЕС (GDPR (https://encyclopedia.kaspersky.ru/glossary/general-data-protection-regulation-gdpr/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation)). В настоящее время в Интернете работают свыше 100 тыс. (https://wordpress.org/plugins/wp-gdpr-compliance/) экземпляров этого продукта. Уязвимости подвержены все сборки WP GDPR Compliance ниже 1.4.3, выпуск которой разработчик анонсировал (https://www.wpgdprc.com/wp-gdpr-compliance-1-4-3-security-release/) 7 ноября.
Атаки на сайты с использованием уязвимости в этом плагине начались около месяца назад (https://www.zdnet.com/article/zero-day-in-popular-wordpress-plugin-exploited-in-the-wild-to-take-over-sites/). Расследование, запущенное командой по обеспечению безопасности WordPress, позволило выявить причину взломов; WP GDPR Compliance удалили из официального каталога, а затем вернули — в пропатченном виде.
Инициаторы взломов, по данным Defiant, проводят атаки по двум разным сценариям, но пока с единственной целью — для открытия бэкдора (https://encyclopedia.kaspersky.ru/glossary/backdoor/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation). В первом случае они, используя уязвимость в WP GDPR Compliance, регистрируют новый аккаунт администратора (обычно с именем t2trollherten или t3trollherten) и под этой учетной записью загружают веб-шелл в виде файла wp-cache.php.
Этот скрипт содержит файловый менеджер, эмулятор терминала и исполнитель PHP-функции eval(). По словам исследователей, наличие такого инструмента на сайте позволяет автору атаки развернуть дополнительную полезную нагрузку (https://encyclopedia.kaspersky.ru/glossary/payload/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation), когда ему вздумается.
Второй сценарий атаки менее заметен для владельца сайта (появление новой учетной записи тот может быстро обнаружить). Злоумышленники добавляют новую задачу в WP-Cron — встроенный планировщик задач WordPress. Их крон загружает плагин 2MB Autocode, позволяющий внедрять произвольный PHP-код во все записи на сайте. Устанавливаемый с его помощью целевой бэкдор, по словам экспертов, отличен от описанного выше, хотя файл именуется так же — wp-cache.php.
Для сокрытия следов взломщики предусмотрели деактивацию и удаление 2MB Autocode, а также очистку WP-Cron и базы данных от записей, ассоциированных с атакой. Однако из-за допущенной ими программной ошибки плагин, загруженный в ходе атаки, на некоторых сайтах остался, что в итоге позволило найти и устранить уязвимость в WP GDPR Compliance.
Исследователи из Sucuri обнаружили (https://blog.sucuri.net/2018/11/erealitatea-net-hack-corrupts-websites-with-wp-gdpr-compliance-plugin-vulnerability.html) еще один результат эксплойта WP GDPR Compliance. На некоторых сайтах злоумышленники меняют настройки URL в базе данных, задавая значение hxxp://erealitatea[.]net, и ресурсы начинают загружаться из этого домена. WordPress использует опцию siteurl для генерации ссылок на статический контент — скрипты, CSS, изображения. В настоящее время erealitatea[.]net не работает, поэтому все обращающиеся к домену сайты грузятся очень долго и отображаются с ошибками.
Бэкдоры, открытые взломщиками на WordPress-сайтах, пока никак не используются. Не исключено, что плацдарм для дальнейших атак еще не готов, а может быть, инициаторы кампании просто составляют коллекцию взломанных площадок для продажи. В любом случае владельцам сайтов, использующих плагин WP GDPR Compliance, настоятельно рекомендуется его обновить или удалить, а также поискать и вычистить все бэкдоры.
12.11.2018
https://threatpost.ru/vulnerability-in-wp-gdpr-compliance-plugin-exploited-en-masse/29097/
Исследователи из Defiant (бывшая Wordfence) выявили (https://www.wordfence.com/blog/2018/11/privilege-escalation-flaw-in-wp-gdpr-compliance-plugin-exploited-in-the-wild/) кампанию по взлому сайтов WordPress посредством эксплуатации уязвимости повышения привилегий в плагине WP GDPR Compliance. Брешь была закрыта на прошлой неделе, однако злоумышленники успели ее обнаружить до выхода патча и продолжают (https://www.wordfence.com/blog/2018/11/trends-following-vulnerability-in-wp-gdpr-compliance-plugin/) с успехом использовать там, где обновление еще не установлено.
Плагин WP GDPR Compliance помогает обеспечить соответствие сайта Общим правилам по защите данных жителей стран ЕС (GDPR (https://encyclopedia.kaspersky.ru/glossary/general-data-protection-regulation-gdpr/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation)). В настоящее время в Интернете работают свыше 100 тыс. (https://wordpress.org/plugins/wp-gdpr-compliance/) экземпляров этого продукта. Уязвимости подвержены все сборки WP GDPR Compliance ниже 1.4.3, выпуск которой разработчик анонсировал (https://www.wpgdprc.com/wp-gdpr-compliance-1-4-3-security-release/) 7 ноября.
Атаки на сайты с использованием уязвимости в этом плагине начались около месяца назад (https://www.zdnet.com/article/zero-day-in-popular-wordpress-plugin-exploited-in-the-wild-to-take-over-sites/). Расследование, запущенное командой по обеспечению безопасности WordPress, позволило выявить причину взломов; WP GDPR Compliance удалили из официального каталога, а затем вернули — в пропатченном виде.
Инициаторы взломов, по данным Defiant, проводят атаки по двум разным сценариям, но пока с единственной целью — для открытия бэкдора (https://encyclopedia.kaspersky.ru/glossary/backdoor/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation). В первом случае они, используя уязвимость в WP GDPR Compliance, регистрируют новый аккаунт администратора (обычно с именем t2trollherten или t3trollherten) и под этой учетной записью загружают веб-шелл в виде файла wp-cache.php.
Этот скрипт содержит файловый менеджер, эмулятор терминала и исполнитель PHP-функции eval(). По словам исследователей, наличие такого инструмента на сайте позволяет автору атаки развернуть дополнительную полезную нагрузку (https://encyclopedia.kaspersky.ru/glossary/payload/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation), когда ему вздумается.
Второй сценарий атаки менее заметен для владельца сайта (появление новой учетной записи тот может быстро обнаружить). Злоумышленники добавляют новую задачу в WP-Cron — встроенный планировщик задач WordPress. Их крон загружает плагин 2MB Autocode, позволяющий внедрять произвольный PHP-код во все записи на сайте. Устанавливаемый с его помощью целевой бэкдор, по словам экспертов, отличен от описанного выше, хотя файл именуется так же — wp-cache.php.
Для сокрытия следов взломщики предусмотрели деактивацию и удаление 2MB Autocode, а также очистку WP-Cron и базы данных от записей, ассоциированных с атакой. Однако из-за допущенной ими программной ошибки плагин, загруженный в ходе атаки, на некоторых сайтах остался, что в итоге позволило найти и устранить уязвимость в WP GDPR Compliance.
Исследователи из Sucuri обнаружили (https://blog.sucuri.net/2018/11/erealitatea-net-hack-corrupts-websites-with-wp-gdpr-compliance-plugin-vulnerability.html) еще один результат эксплойта WP GDPR Compliance. На некоторых сайтах злоумышленники меняют настройки URL в базе данных, задавая значение hxxp://erealitatea[.]net, и ресурсы начинают загружаться из этого домена. WordPress использует опцию siteurl для генерации ссылок на статический контент — скрипты, CSS, изображения. В настоящее время erealitatea[.]net не работает, поэтому все обращающиеся к домену сайты грузятся очень долго и отображаются с ошибками.
Бэкдоры, открытые взломщиками на WordPress-сайтах, пока никак не используются. Не исключено, что плацдарм для дальнейших атак еще не готов, а может быть, инициаторы кампании просто составляют коллекцию взломанных площадок для продажи. В любом случае владельцам сайтов, использующих плагин WP GDPR Compliance, настоятельно рекомендуется его обновить или удалить, а также поискать и вычистить все бэкдоры.
12.11.2018
https://threatpost.ru/vulnerability-in-wp-gdpr-compliance-plugin-exploited-en-masse/29097/