Взломщики создавали на сайтах аккаунты администратора
Исследователь Майки Винстра (Mikey Veenstra) сообщил о новом витке развития активной вредоносной кампании на WordPress. Злоумышленники, которые ранее атаковали уязвимые плагины, чтобы показывать нежелательные рекламные баннеры и привлекать трафик на мошеннические сайты, теперь создают на взломанных ресурсах фейковые аккаунты администратора.
XSS-атаки через JavaScript-модуль
О текущей кампании ИБ-специалисты сообщили в июле. Злоумышленники внедряли на сайты JavaScript-компонент, который загружал код с внешних URL-адресов (метод межсайтового скриптинга). При открытии страницы этот код определял, какое устройство использует посетитель, и в зависимости от результата перенаправлял его на рекламный или вредоносный ресурс.
По словам экспертов, в результате жертвы могли попасть на сайты с ложной техподдержкой, вредоносными Android-приложениями или рекламой лекарственных препаратов и порнографии.
В последние две недели преступники добавили в свой арсенал еще одну функцию — теперь зловред проверяет, нет ли у текущего посетителя прав администратора. Если таковые обнаруживаются, скрипт использует аккаунт жертвы, чтобы создать новую учетную запись с максимальным уровнем доступа. Это обеспечивает операторам возможность управлять скомпрометированным ресурсом, красть пользовательские данные и размещать на веб-сервере новое зловредное ПО.
Уязвимые WordPress-плагины
Исследователи опубликовали список из 10 плагинов, чьи уязвимости используются в нынешней кампании:
- BoldPage Builder (CVE-2019-15821) — баг в версиях до 3.2 позволяет неавторизованному пользователю выполнять действия от имени администратора.
- BlogDesigner — XSS-уязвимость в версиях до 8.12 угрожает несанкционированным изменением настроек.
- LiveChat with Facebook Messenger — позволяет неавторизованному пользователю сохранять код в одной из функций WordPress. Уязвимы версии плагина ниже 4.7.
- Редактор стилей CSS Yellow Pencil (CVE-2019-11886)— плагины до версии 2.1 позволяют взломщикам получить права администратора.
- WPLive Chat Support (CVE-2018-18460, CVE-2019-9913) — в плагинах версии до 0.18 некорректно обрабатываются определенные системные запросы.
- HybridComposer — вплоть до версии 4.7 плагин позволял изменять функции WordPress без должной аутентификации.
- YuzoRelated Posts (CVE-2019-11869) — после обнаружения XSS-уязвимости безопасная версия так и не появилась, плагин заблокирован в репозитории WordPress, но остается работать на многих ресурсах.
- FormLightbox — также удален из каталога WordPress; содержит баг, позволяющий менять функции в базе данных WordPress. Может привести к повышению привилегий до администраторских.
- Все плагины NicDark— серия различных багов, также позволяющих повысить привилегии.
Владельцам сайтов рекомендуется не только обновить или удалить уязвимые плагины, но и проверить список администраторов своего ресурса и избавиться от аккаунтов, которые они не создавали. В частности, стоит обратить внимание на учетную запись wpservices (зарегистрирована на адрес wpservices@yandex.com).
Ранее специалисты обнаружили уязвимость в WordPress-плагине, который установлен на 800 тыс. сайтов. Баг позволял злоумышленникам внедрять сторонний код, похищать конфиденциальные данные и брать сайт под свой контроль.
