Firma Wordfence dostarczająca rozwiązania bezpieczeństwa dla Wordpress opublikowała raport o wykorzystaniu luk w rozszerzeniu „WP GDPR Compliance”, które do tej pory zostało zainstalowane ponad 100 tysięcy razy. W zgłoszonych podatnościach zaobserwowano, że wstrzyknięcie stosownego żądania AJAX może umożliwić atakującemu utworzenie nowego użytkownika z uprawnieniami administratora. Niestety jeśli dobrze poszukać, to już można znaleźć automatyczne skrypty próbujące wykorzystać tę lukę. Niektóre z nich mogą odwrócić zmiany wprowadzone przez złośliwy kod, aby utrudnić lub uniemożliwić swoje wykrycie. Wtyczka „WP GDPR Compliance” na czas łatania została usunięta z repozytorium. Administratorom rekomenduje się zaktualizowanie rozszerzenia do wersji 1.4.3.

W innej wtyczce „WooCommerce” zainstalowanej już ponad 4 miliony razy wykryto podobną podatność. Luka może pozwolić zainstalować oficjalny plugin „2MB Autocode” z repozytorium WordPressa i dać atakującym sposobność wstrzyknięcia kodu PHP do każdego postu. W ten sposób atakujący mogą zainstalować backdoora na zaatakowanej stronie.

Zaleca się zaktualizowanie systemu CMS wraz ze wszystkimi pluginami, o ile to możliwe. Dodatkową ochronę zapewnią zablokowane wskaźniki IoC, a także stosowanie zabezpieczeń na poziomie aplikacji za pomocą CloudFlare, Grey Wizard lub rozszerzenia Wordfence. Posiłkowanie się wtyczką Wordfence, która pełni rolę zabezpieczenia przez szkodliwym oprogramowaniem, bakdorami, złośliwymi przekierowaniami i wstrzykiwaniem kodu, jest wręcz obowiązkowe. Klienci wtyczki w wersji premium otrzymują liczne reguły, które są dodawane do bazy zagrożeń przez deweloperów rozszerzenia. Oprogramowanie wyposażone w standardy aplikacyjnej zapory i sygnatur złośliwego oprogramowania będzie w czasie rzeczywistym chroniło przed tymi oraz innymi exploitami.

Hashe złośliwych skryptów:

b6eba59622630b18235ba2d0ce4fcb65
577293e035cce3083f2fc68f684e014bf100faf3
c62180f0d626d92e29e83778605dd8be
83d9688605a948943b05df5c548bea6e1a7fe8da

Adresy IP:

109.234.39.250
195.123.213.91
109.234.37.214
46.39.65.176

URL:

hxxp://pornmam.com/wp.php

Nieautoryzowane nazwy kont użytkowników:

t2trollherten
t3trollherten
AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz