Исследователи из центра информационной безопасности смогли обнаружить критическую уязвимость в плагине Easy WP SMTP. По предварительной версии, данную уязвимость эксплуатируют злоумышленники для получения доступа к WordPress-сайтам. По полученной информации, критическую уязвимость содержат версии плагина до 1.4.2 включительно.
В результате выяснения обстоятельств удалось установить алгоритм действий мошенников. Злоумышленники использовали уязвимость нулевого дня. С помощью данной критической уязвимости злоумышленники изменяли SMTP для отправленных на электронную почту писем. Интернет мошенники получали доступ к компьютерам жертв, заходили в систему от имени администратора, а затем сбрасывали все данные учётных записей.
Также удалось установить, что версии плагина до Easy WP SMTP 1.4.2 включительно содержат функцию, с помощью которой формируется журнал отладки всех писем, отправленных на электронную почту. Из-за отсутствия файла index.html в папке плагина хакеры могли просматривать данный журнал для выполнения необходимых действий в системе.
Сотрудники из отдела информационной безопасности объяснили, что мошенники таким образом пытались захватить контроль над учёными записями пользователей. Поскольку в журнале отладки фиксируются все отправленные электронные письма, злоумышленники заходили на сайты, а затем запрашивали смену пароля. После этого на почту отправлялось письмо с условиями для смены пароля. Мошенники перехватывали его в журнале отладки, а затем изменяли данные на сайте. В поздних версиях плагина уязвимость исправлена за счёт переноса журнала отладки в более защищённую папку.
