Небезпечні вразливості в WordPress-плагінах ThemeREX і ThemeGrill використовуються для атак

Вразливості нульового і першого дня в популярних плагінах для WordPress вже знаходяться під атаками. З їх допомогою зловмисники створюють нові облікові записи адміністратора і захоплюють сайти.

Аналітики ІБ-компанії Wordfence попередили, що зловмисники експлуатують вразливість нульового дня в плагіні ThemeREX Addons, який поставляється разом з усіма комерційними темами компанії ThemeREX. Даний плагін допомагає користувачам продукції ThemeREX створювати нові сайти і контролювати різні налаштування тем. За оцінками Wordfence, він встановлений на більш ніж 44 000 сайтів.

Проблема полягає в тому, що плагін налаштовує ендпойнт WordPress REST-API, але не перевіряє, чи від авторизованих користувачів (тобто від власника сайту) надходять команди, що відправляються на цей REST API. В результаті виявляється, що віддалений код може бути виконаний будь-ким, навіть якщо той не пройшов аутентифікацію на сайті. Гірше того, зловмисники отримують можливість створити новий обліковий запис адміністратора, що і спостерігали фахівці в ході атак, що почалися 18 лютого 2020 року.

Експерти закликали користувачів терміново видалити ThemeREX Addons версій старіших ніж 1.6.50, і не користуватися плагіном до виходу патчу.

Однак проблеми можуть виникнути не тільки у користувачів ThemeREX Addons. Ще один проблемний плагін під атаками, це ThemeGrill Demo Importer. Такі атаки називають атаками на вразливість першого дня, тобто на зовсім свіжий, недавно усунутий баг.

Нагадаємо, що через вразливість, віддалені і нерозпізнані зловмисники мають можливість відправити на сайт спеціальний пейлоад, за допомогою якого буде задіяна певна функція плагіна. Так, в продукті ThemeGrill є функція, яка повністю обнуляє весь контент на сайті, ефективно стираючи весь вміст ресурсу з активною темою ThemeGrill і замінюючи його демонстраційними даними. Крім того, якщо БД сайту містить користувача з ім'ям admin, атакуючий може отримати доступ до цього облікового запису і всі відповідні права.

За інформацією WebARX і судячи з повідомлень, опублікованих в Twitter, хакери вже почали експлуатувати уразливість в продукті ThemeGrill. Причому поки атаки носять деструктивний характер, тобто хакери прагнуть захопити контроль над ресурсом, але хочуть стерти БД сайтів і знищити дані.

Хочете дізнатися більше?

Напишіть нам