Написать пост

На сайты c WordPress идёт атака, использующая уязвимость плагина AMP for WP

Аватар Андрей Галадей
Андрей Галадей

Брешь в плагине для генерации мобильных страниц AMP for WP позволяет использовать XSS-атаку для получения прав администратора на атакуемом сайте.

Обложка поста На сайты c WordPress идёт атака, использующая уязвимость плагина AMP for WP

В октябре 2018 года в популярном плагине для генерации ускоренных мобильных страниц AMP for WP была обнаружена уязвимость, которая позволяет любому зарегистрированному пользователю получить права администратора. Сейчас на сайты WordPress с этим плагином идёт XSS-атака, ставящая целью создание «поддельных» администраторов.

Характер уязвимости

Ошибка, позволяющая повысить права пользователя, заключается в отсутствии проверки прав на выполнение действий администратора в старых версиях плагина. С версии 0.9.97.20, вышедшей в начале ноября 2018 года, проблема решена. Но отсутствие автоматического обновления плагинов на многих сайтах с WordPress делает их уязвимыми.

Атака с использованием бэкдора

ИБ-специалист из WordFence Майки Винстра (Mikey Veenstra) заявил, что сейчас идёт широкомасштабная автоматизированная XSS-атака, эксплуатирующая открытую уязвимость.

Вредоносный скрипт размещается по адресу https: // sslapis [.] Com / assets / si / stat.js. Выполнение скрипта с браузера администратора создаст нового, но уже под контролем злоумышленников. Это делается через скрытый элемент iframe, имитирующий регистрацию нового пользователя и отсылающий событие click (), чтобы «нажать» кнопку отправки данных.

На сайты c WordPress идёт атака, использующая уязвимость плагина AMP for WP 1

Таким способом на целевой сайт добавляется учётная запись администратора с именем пользователя supportuuser и адресом supportuser72019@gmail.com. Скрипт анализирует список плагинов и пытается установить PHP-бэкдор:

На сайты c WordPress идёт атака, использующая уязвимость плагина AMP for WP 2

Скрипт читает переменные, добавленные к URL-адресу взломанного плагина, назначая их в качестве переменных среды. Это позволяет использовать любые команды злоумышленника:

На сайты c WordPress идёт атака, использующая уязвимость плагина AMP for WP 3

Действия владельцев сайта

Администраторам сайтов на WordPress рекомендуется:

  • проверить список администраторов и удалить неизвестных;
  • обновить AMP for WP до версии 0.9.97.20 или выше;
  • проверить активность плагина WooCommerce, который тоже подвержен XSS-атаке.

В июне 2018 года сотрудники компании RIPS сообщили об уязвимости в WordPress, которая позволяет загружать в систему вредоносный код и удалять критически важные файлы. В ноябре 2018 года они же обнаружили брешь в плагине WooCommerce для этой CMS.

Следите за новыми постами
Следите за новыми постами по любимым темам
2К открытий2К показов
Также рекомендуем
Обложка поста Гайд: как разместить сайт бесплатно на GitHub Pages
Гайд: как разместить сайт бесплатно на GitHub Pages
Сделали пошаговую инструкцию, которая поможет создать сайт с нуля без навыков вёрстки и разместить его на GitHub Pages.
Обложка поста IT-клавиатура важных смыслов с конференции Yatalks
IT-клавиатура важных смыслов с конференции Yatalks
Нажимайте на клавиши и узнаете самые важные идеи докладов на конференции YaTalks.
Обложка поста Django или Node.js: что выбрать в 2024 году
Django или Node.js: что выбрать в 2024 году
Рассмотрели преимущества, недостатки, сходства, различия, возможности карьерного роста для Django и Node.js, чтобы выяснить, какую из них лучше использовать.
Обложка поста Инструменты ADI в пользовательском интерфейсе
Инструменты ADI в пользовательском интерфейсе
Рассказали, зачем нужна ADI — технология на основе искусственного интеллекта для автоматизации дизайна и графического искусства.