Критические уязвимости в плагине Houzez для WordPress используются для захвата сайтов
ИБ-эксперты предупредили, что хакеры активно эксплуатируют две критические уязвимости в плагине Houzez для WordPress, который в основном используется на сайтах, посвященных недвижимости.
Houzez представляет собой плагин премиум-класса, который стоит 69 долларов и предлагает простое управление листингами. На сайте его разработчиков утверждается, что плагин используют более 35 000 клиентов в сфере недвижимости.
Критические баги, о которых идет речь, были обнаружены исследователями из компании Patchstack. При этом одна уязвимость была исправлена в версии 2.6.4 (август 2022 года), а другая — в версии 2.7.2 (ноябрь 2022 года).
К сожалению, согласно новому отчету Patchstack, администраторы многих сайтов до сих пор не установили обновления, и злоумышленники активно используют эти проблемы в своих атаках. Например, большое количество атак было зафиксировано с IP-адреса 103.167.93.138.
Первая уязвимость Houzez получила идентификатор CVE-2023-26540 и набрала 9,8 балла из 10 возможных по шкале оценки уязвимостей CVSS v3.1, то есть является критической. Проблема связана с неправильной конфигурацией плагина Houzez версии 2.7.1 и старше, и ее можно использовать удаленно (без аутентификации и повышенных привилегий). Баг устранили в Houzez 2.7.2 и более свежих версиях.
Вторая уязвимость получила идентификатор CVE-2023-26009 и также оценивается как критическая (9,8 балла по шкале CVSS v3.1). Это проблема влияет на Houzes Login Register. Она затрагивает версии 2.6.3 и старше, позволяя неаутентифицированным злоумышленникам повышать привилегии на любых сайтах, где используется плагин. Уязвимость исправили в Houzez Login Register версии 2.6.4 или более свежих.
Исследователи объясняют, что из-за ошибки на стороне сервера злоумышленники получают возможность создать на уязвимом сайте нового пользователя-администратора, что в итоге позволяет им полностью перехватить контроль над уязвимым ресурсом. В частности, в атаках, изученных Patchstack, хакеры загружали на взломанные сайты бэкдор, способный выполнять команды, размещать рекламу или перенаправлять трафик на другие вредоносные ресурсы.
Эксперты сообщают, что атаки продолжаются до сих пор, и напоминают владельцам и администраторам сайтов о необходимости своевременно устанавливать доступные обновления.
Источник: https://xakep.ru/2023/03/01/houzez-bugs/