Американська компанія White Fir Design (адміністратор баз даних сервісу Plugin Vulnerabilities) опублікувала подробиці про уразливість в двох офіційних плагінах для WordPress від Facebook. Причина того, що дослідники поставили під загрозу сотні тисяч сайтів, – бажання “насолити” модераторам форуму WordPress.
Перший уразливий плагін, Messenger Customer Chat, відображає вікно чату Messenger на сайті під керуванням WordPress і встановлений на 20 тисяч ресурсів. Другий плагін, Facebook for WooCommerce, дозволяє власникам сайтів на базі WordPress завантажувати свої магазини WooCommerce на сторінки в Facebook і використовується на 200 тисячах сайтів.
Після декількох років суперечок Plugin Vulnerabilities вирішив, що не буде виконувати правила форумів WordPress.org, які зобов’язують користувачів повідомляти про уразливість в додатках не через форуми, а електронною поштою. Протягом останніх років команда Plugin Vulnerabilities вперто порушувала ці вимоги, і в результаті їх облікові записи на форумі були заблоковані.
Обурені дослідники вирішили “помститися” WordPress.org і замість того, щоб повідомляти про свої знахідки розробникам проблемних плагінів, почали публікувати подробиці про уразливість в своєму блозі, супроводжуючи їх PoC-експлойтами. Таким чином вони детально описали уразливості в Easy WP SMTP, Yuzo Related Posts, Social Warfare, Yellow Pencil Plugin і WooCommerce Checkout Manager. Цьому зраділи кіберзлочинці і відразу ж додали уразливості до своїх активних кампаній.
Уразливості в Messenger Customer Chat і Facebook for WooCommerce дозволяють здійснити міжсайтову підробку запитів (CSRF) – завдяки цьому неавторизований зловмисник може отримати доступ до опцій сайту. Для їх експлуатації хакеру потрібно або змусити (наприклад, за допомогою соціальної інженерії) зареєстрованого користувача натиснути на шкідливе посилання, або самому зареєструвати обліковий запис на цільовому сайті.
До речі, Microsoft планує інтегрувати підсистему Windows для Linux 2 у весняне оновлення функцій 2020 року – Windows 20H1. Нова версія постачається з повноцінним ядром Linux і змінює спосіб взаємодії бінарних файлів з Windows і обладнанням комп’ютера.
Нагадаємо, кілька днів тому з офіційного екаунту технічної підтримки Samsung у Twitter надійшло повідомлення щодо обов’язкової ручної антивірусної перевірки телевізорів, підключених до Wi-Fi мережі.
Також засновник компанії Nitro-Team і фахівець з кібербезпеки з Казахстану Батиржан Тютеєв запустив Telegram-бота, за допомогою якого користувач може перевірити, чи витікали паролі від його електронної пошти до будь-яких баз. За даними творця бота, за годину ним встигли скористатися 10 тисяч осіб.
Окрім цього, працівники кіберполіції викрили двох 33-річних чоловіків, причетних до викрадення майже 420 тисяч гривень з рахунку одного з мешканці Київщини. Знаючи про вразливості онлайн-ресурсу потерпілого, зловмисник використав їх для викрадення коштів.
