Было обнаружено, что хакеры используют пару критических уязвимостей в одном из популярных плагинов для обмена в социальных сетях, чтобы взять под контроль веб-сайты WordPress, на которых все еще работает уязвимая версия плагина.
Рассматриваемый уязвимый плагин - Social Warfare - популярный и широко распространенный плагин WordPress с более чем 900 000 загрузок. Он используется для добавления кнопок социальных сетей на веб-сайт или блог WordPress.
В конце прошлого месяца разработчики Social Warfare для WordPress выпустили обновленную версию 3.5.3 своего плагина для исправления двух уязвимостей безопасности - хранимых межсайтовых сценариев (XSS) и удаленного выполнения кода (RCE) - оба отслеживаются по одному идентификатору, т.е. CVE-2019-9978.
Хакеры могут использовать эти уязвимости для запуска произвольного PHP-кода и получения полного контроля над веб-сайтами и серверами без аутентификации, а затем использовать взломанные сайты для выполнения цифровой добычи монет или размещения вредоносного кода эксплойта.
Однако в тот же день, когда Social Warfare выпустила исправленную версию своего плагина, неназванный исследователь безопасности опубликовал полное раскрытие и подтверждение концепции для хранимой уязвимости Cross-Site Scripting (XSS).
Вскоре после полного раскрытия и выпуска PoC злоумышленники начали пытаться использовать уязвимость, но, к счастью, она ограничивалась только введенной активностью перенаправления JavaScript, при этом исследователи не обнаружили никаких попыток использовать уязвимость RCE.
Теперь исследователи Palo Alto Network Unit 42 обнаружили несколько эксплойтов, использующих преимущества этих уязвимостей в дикой природе, в том числе эксплойт для уязвимости RCE, который позволяет злоумышленнику контролировать уязвимый веб-сайт, и эксплойт для уязвимости XSS, которая перенаправляет жертв на рекламный сайт. ,
Хотя оба недостатка возникли из-за неправильной обработки ввода, использование неправильной, недостаточной функции в конечном итоге позволило удаленным злоумышленникам использовать их без какой-либо аутентификации.
«Основная причина каждой из этих двух уязвимостей одна и та же: неправильное использование функции is_admin () в WordPress», - говорят исследователи в своем блоге. «Is_admin только проверяет, является ли запрашиваемая страница частью интерфейса администратора, и не будет предотвращать любое несанкционированное посещение».
На момент написания этой статьи более 37 000 веб-сайтов WordPress из 42 000 активных сайтов, в том числе образовательных, финансовых и новостных (некоторые из самых популярных веб-сайтов Alexa), все еще используют устаревшую уязвимую версию плагина Social Warfare, в результате чего сотни миллионы их посетителей рискуют взломать через различные другие векторы.
Поскольку вполне вероятно, что злоумышленники будут продолжать использовать уязвимости для пользователей WordPress, администраторам веб-сайта настоятельно рекомендуется обновить плагин Social Warfare до версии 3.5.3 или более поздней версии как можно скорее.
================================================================== Если хочешь видеть еще больше полезного и познавательного материала — подписывайся на мой канал, а так же группу Вконтакте😉 → THE SUPERNOVA CHANNEL