We wtyczce Duplicator (w tej darmowej i w wersji Pro) dla Wordpress znaleziono krytyczną lukę, która ma wpływ na bezpieczeństwo nawet jednego miliona stron internetowych. Podatność pozwala pobrać dowolny plik z instancji Wordpress na serwerze. Najczęściej jednak atakujący są zainteresowani plikiem konfiguracyjnym wp-config.php.

W chwili opublikowania informacji o podatności eksperci z Wordfence zablokowali ponad 60000 prób pobierania pliku wp-confi.php. Prawie wszystkie te ataki zostały przeprowadzone z tego samego adresu IP: 77.71.115.52 .

Adres IP wskazuje na serwer internetowy w Bułgarii, którego właścicielem jest Varna Data Center EOOD. Na tym serwerze znajduje się kilka stron internetowych, co sugeruje, że serwer może pośredniczyć w atakach. Ostatnio powiązano adres IP z innymi atakami na właścicieli stron napędzanych WordPressem i trwają badania nad jego aktywnością.

Aby ustalić, czy witryna mogła zostać zaatakowana, należy przeszukać logi serwera pod kątem następujących wskaźników:

  • Ruch zarejestrowany z adresu IP 77.71.115.52 należy uznać za podejrzany.
  • Ataki w tej kampanii są wysyłane za pośrednictwem żądań GET z następującymi ciągami zapytań:
    • action=duplicator_download
    • file=/../wp-config.php

Zaleca się pilną aktualizację darmowej wtyczki Duplicator do wersji 1.3.28 lub do 3.8.7.1 w przypadku Duplicator Pro.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz