Уязвимый плагин для WordPress стал причиной массовых взломов сайтов

Эксперты частной калифорнийской компании Sucuri обнаружили критическую уязвимость плагина для системы, использующейся в управлении контентом сайтов WordPress. Представители сообщают, что с начала месяца количество взломов из-за данной неполадки уже превысило пятьдесят тысяч. К тому же, уязвимость успешно эксплуатируется и по сей день.
Неполадка была найдена еще в начале июля специалистом компании Марком-Александром Монтпасом в новостном плагине MailPoet. Она не только позволяет загружать на уязвимый сайт опасные коды и перехватывать управление, но и абсолютно не требует при этом авторизации. Так же с помощью бреши возможна рассылка спама и осуществление дефейса.
В версии плагина 2.6.7, которая была выпущена первого июля, ошибка была успешно исправлена. Тем не менее, в сети интернет до сих пор остается огромное количество сайтов, использующих в работе уязвимый плагин WordPress. К слову, только из официальных источников он был скачан около двух миллионов раз.
Эксперты калифорнийской компании исследовали данный вопрос на протяжении трех суток. В ходя исследования были задействованы имитаторы уязвимых сайтов. После продолжительного наблюдения и анализа последних, было установлено, что практически все атаки осуществляются автоматически, а их темпы и количество постоянно увеличивается. Так же эксперты отметили, что брешь является так называемой «точкой входа» - атаке подвержен не только сайт использующий ненадежный плагин, но и соседние с ним ресурсы.
Как правило, при взломе используется ботнет – сеть компьютеров, имеющих подобные уязвимости в программном обеспечении. Первым делом загружается модифицированная тема (editTemplate), далее бэкдор проникает в /themes/mailp/, заражает /mailp/index.php и начинает инфицировать другие файлы.
Основной целью атакующего является получение полного доступа к сайту для, как уже говорилось ранее, дефейса, рассылки спама или распространения троянских программ.
Рекомендуем по теме:

В отношении GeekBrains подан второй по счету коллективный иск за отказ вернуть деньги за курсы

Meta Playforms решила приостановить набор персонала из-за медленного роста

VK ведет переговоры о поглощении сервисов бронирования жилья

Honor свернул поставки смартфонов на российский рынок

Собственник Avito не хочет продавать классифайд VK

Pinterest и Twitch наказали за отказ от локализации данных

Wargaming успела продать российский бизнес до введения запрета

Порядка 2 500 работников «Яндекса» так и не вернулись из-за границы

Twitter тестирует функцию совместного постинга