We wtyczce Duplicator (w tej darmowej i w wersji Pro) dla WordPress znaleziono krytyczną lukę, która ma wpływ na bezpieczeństwo nawet jednego miliona stron internetowych. Podatność pozwala pobrać dowolny plik z instancji WordPress na serwerze. Najczęściej jednak atakujący są zainteresowani plikiem konfiguracyjnym wp-config.php.
W chwili opublikowania informacji o podatności eksperci z Wordfence zablokowali ponad 60000 prób pobierania pliku wp-confi.php. Prawie wszystkie te ataki zostały przeprowadzone z tego samego adresu IP: 77.71.115.52 .
Adres IP wskazuje na serwer internetowy w Bułgarii, którego właścicielem jest Varna Data Center EOOD. Na tym serwerze znajduje się kilka stron internetowych, co sugeruje, że serwer może pośredniczyć w atakach. Ostatnio powiązano adres IP z innymi atakami na właścicieli stron napędzanych WordPressem i trwają badania nad jego aktywnością.
Aby ustalić, czy witryna mogła zostać zaatakowana, należy przeszukać logi serwera pod kątem następujących wskaźników:
- Ruch zarejestrowany z adresu IP
77.71.115.52należy uznać za podejrzany. - Ataki w tej kampanii są wysyłane za pośrednictwem żądań GET z następującymi ciągami zapytań:
action=duplicator_downloadfile=/../wp-config.php
Zaleca się pilną aktualizację darmowej wtyczki Duplicator do wersji 1.3.28 lub do 3.8.7.1 w przypadku Duplicator Pro.
