Спецпроекты

Миллион сайтов на WordPress атакован с 24 тыс. IP-адресов

Безопасность Администратору Интернет Веб-сервисы

Злоумышленники ведут серийный «обстрел» сайтов на базе WordPress в надежде найти и скомпрометировать уязвимые. В прицеле – старые, давно не обновлявшиеся плагины с XSS-уязвимостями.

Атака на 900 тысяч сайтов

Эксперты обнаружили широкомасштабную вредоносную кампанию, нацеленную на сайты на базе CMS (система управления контентом) WordPress. Злоумышленники пытаются перенаправить пользователей на сторонние вредоносные ресурсы или подсадить бэкдор. Атаки осуществлялись как минимум с 24 тыс. адресов. Вредоносные запросы были направлены минимум 900 тыс. сайтов.

Атаки начались 28 апреля 2020 г.; к 3 мая количество предпринятых попыток атаковать сайты на WordPress перевалило за 20 млн.

Специалисты Defiant (компании, которая разрабатывает средства защиты сайтов на базе WordPress, в первую очередь плагин Wordfence) указывают, что большая часть атак направлена на XSS-уязвимости в плагинах WordPress, для которых уже давно — месяцы, а то и годы — выпущены обновления и исправления.

Без малого миллион сайтов на сверхпопулярном движке атакован с тысяч IP-адресов

В случае, если в момент атаки активен аккаунт администратора сайта, у злоумышленников появляется шанс запустить вредоносный JavaScript в его браузере. Этот скрипт пытается установить в систему управления контентом бэкдор, написанный на PHP. Бэкдор обычно пытаются поместить в заголовок файла темы оформления сайта (ru.wordpress.org/themes/). Впоследствии этот код пытается загрузить дополнительные вредоносные модули, которые могут быть использованы для компрометации ресурса — вплоть до создания посторонних аккаунтов с админскими полномочиями или ликвидации всего содержимого ресурса.

Плагины-мишени

Атакам подвергается ряд плагинов. Например, Easy2Map (wordpress.org/plugins/easy2map/) — старый плагин, удаленный в 2019 г. из центрального репозитория. Он установлен на относительно небольшом количестве сайтов; содержит XSS-уязвимость.

Плагин BlogDesigner (wordpress.org/plugins/blog-designer/) имеет около 1 тыс. установок. Он содержал XSS-уязвимость, которую исправили в 2019 г.

Плагин WP GDPR Compliance (wordpress.org/plugins/wp-gdpr-compliance/). На его счету около 100 тыс. установок. До 2018 г. он содержал уязвимость в механизме обновлений. Около 5 тыс. установок могут быть уязвимы до сих пор.

Плагин Total Donations (wordfence.com/blog/2019/01/wordpress-sites-compromised-via-zero-day-vulnerabilities-in-total-donations-plugin/), также содержал уязвимость в механизме обновлений. В 2019 г. он был удален из Envato Marketplace и сейчас функционирует не более чем на 1 тыс. ресурсах.

Кроме того, атакам подвергается тема Newspaper, в которой до 2016 г. присутствовала XSS-уязвимость. Ее уже неоднократно пытались эксплуатировать.

«Вероятнее всего, злоумышленники ведут “ковровую бомбардировку” в надежде зацепить уязвимый ресурс, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — КПД у этой кампании вряд ли очень высокий: как видно, не так много сайтов содержат уязвимые плагины. Хотя нельзя исключать, что вышеприведенным списком мишени не ограничиваются. В любом случае, администраторам ресурсов рекомендуется произвести у себя весеннюю уборку, обновить все плагины и избавиться от неподдерживаемых».