Отражены 5 млн атак на WordPress через дыру 0-day в плагине BackupBuddy

Татьяна Никитина 08 Сентября 2022 - 17:24

Домашние пользователи

Малый и средний бизнес

Атаки на сайты

Уязвимости сайтов

Взлом сайтов

...

Отражены 5 млн атак на WordPress через дыру 0-day в плагине BackupBuddy

Патч для опасной уязвимости в коммерческом WordPress-плагине разработки iThemes включен в состав обновления BackupBuddy 8.7.5 и вышел 2 сентября. С конца августа Wordfence (собственность Defiant) зафиксировала около 4,95 млн попыток эксплойта по своей клиентской базе.

По оценке экспертов, в настоящее время плагин, призванный облегчить управление резервным копированием, установлен и работает примерно на 140 тыс. сайтов. Подозрительную активность первыми заметили разработчики BackupBuddy и оперативно выпустили обновление; пользователи сервиса iThemes Sync получили его автоматически.

Уязвимость CVE-2022-31474 (7,5 балла CVSS) актуальна для сборок с 8.5.8.0 по 8.7.4.1. Эксплойт тривиален и позволяет без аутентификации просматривать и загружать с сайта произвольные файлы, которые могут содержать конфиденциальную информацию. Пользователям настоятельно рекомендуется обновить BackupBuddy до новейшей версии.

Из-за текущих атак и простоты использования подробности уязвимости минимальны. В блог-записи Wordfence сказано, что корнем зла является небезопасный способ сохранения резервных копий локально, а точнее, отсутствие проверки прав на загрузку и пути к файлу.

Бэкапы, создаваемые с помощью BackupBuddy, обычно отправляются в облако — в Google Drive, OneDrive, AWS и т. п. Для локального хранения используется опция Local Directory Copy; некорректная реализация этого механизма и стала причиной появления проблемы.

С 26 августа межсетевой экран Wordfence остановил 4 948 926 атак на клиентские сайты через уязвимость CVE-2022-31474. Около 2 млн попыток эксплойта исходило с IP-адреса 195.178.120[.]89 (Нидерланды, AS-провайдер Delis). Остальные внешние серверы в Топ-10 по этому показателю принадлежат Microsoft и расположены в разных странах — Великобритании, США, Швеции, Канаде, Ирландии.

Как выяснилось, авторов большинства атак интересуют следующие файлы:

/etc/passwd
/wp-config.php
.my.cnf
.accesshash

Проверить сайт на предмет компрометации можно просмотром запросов в логах доступа: присутствие параметров local-download и/или local-destination-id, а также полного пути к файлу может свидетельствовать о попытке эксплуатации CVE-2022-31474.

При выявлении взлома iThemes советует сменить пароль к базе данных, соли WordPress и ключи к облачным сервисам в файле wp-config.php. Тем, у кого открыт доступ к phpMyAdmin или WordPress-сервер связан с публичным сервером базы данных, рекомендовано восстановление из бэкапа (созданного до первой попытки несанкционированного доступа, согласно логам). При отсутствии такой возможности придется вручную чистить сайт — с помощью сервиса Hack Repair или своими силами, притом как минимум поискать и удалить подозрительные аккаунты администратора и сбросить пароли остальным админам.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 26 Декабря 2024 - 21:41

Общее Системы аутентификации Средства электронной подписи (ЭП) Газинформсервис

Газинформсервис помогает строить трансграничное пространство доверия в ЕАЭС

Советник генерального директора – начальник удостоверяющего центра Сергей Кирюшкин назвал механизм взаимного признания электронной подписи критически важным для улучшения бизнес-климата в Евразийском экономическом союзе (ЕАЭС).

17-е заседание Консультативного совета торгово-промышленных палат ЕАЭС состоялось 24 декабря 2024 года в формате видео-конференц-связи.

В нём приняли участие вице-президент Торгово-промышленной палаты РФ Дмитрий Курочкин, директор Департамента внешних связей Илья Нестеров, и. о. председателя правления Внешнеторговой палаты Казахстана Асан Жакишев, вице-президент ТПП Армении Карен Иванов, заместитель председателя Белорусской ТПП Елена Малиновская, вице-президент ТПП Кыргызской Республики Мамасадык Бакиров и руководитель Проектного офиса по поддержке кооперации в Евразийском экономическом союзе Анастасия Астахова.

С докладом «О развитии механизмов взаимного признания электронной (цифровой) подписи в рамках ЕАЭС» выступил советник генерального директора – начальник удостоверяющего центра Сергей Кирюшкин. Он рассказал о разработке механизмов взаимного признания электронной цифровой подписи в рамках ЕАЭС.

По его оценке, создание таких механизмов необходимо для развития безбумажной трансграничной торговли, причем в приоритетном порядке. «Газинформсервис» продолжает активную работу над созданием надёжного трансграничного пространства доверия для электронной подписи.

«Тему взаимного признания электронной подписи в интересах развития безбумажной трансграничной торговли в странах ЕАЭС торгово-промышленные палаты стран-членов ЕАЭС считают приоритетной. 2024 год впервые показал взрывной рост практической реализации сервиса взаимного признания электронной подписи в интересах бизнеса и органов государственной власти. Базовым технологическим решением данной задачи на пространстве ЕАЭС является сервис валидации иностранной электронной подписи доверенной третьей стороны. Основой правовой конструкции признания являются соглашения B2B между участниками трансграничного электронного взаимодействия. В ТПП РФ эта тема вошла в повестку Совета ТПП по развитию ИТ и цифровой экономики», — отметил Сергей Кирюшкин в выступлении.

Тема использования электронной подписи обсуждалась на эфире AM Live 29 ноября. Сергей Кирюшкин также участвовал в обсуждении.