WordPress є найбільш широко використовуваною платформою для веб-сайтів в Інтернеті. Згідно з останніми статистичними даними, понад 35% усіх веб-сайтів працюють на різноманітних версіях CMS WordPress. Завдяки величезній кількості активних встановлень WordPress – це величезний простір для атак. Спроби зламати сайти на WordPress – відбуваються постійно, фактично ставши фоном для інших атак.
За останні кілька місяців цей фоновий шум постійних атак на WordPress був на нижчих рівнях, порівняно з тим, що спостерігалося минулого року, пише ZDNet. Причиною цього могли стати зимові канікули, які, як і в попередні роки, часто призводять до загального сповільнення активності зловмисного програмного забезпечення та власне зниження випадків хакерських атак – хакери також відпочивають.
Але протягом останніх двох тижнів знову спостерігається почастішання атак на сайти під управлінням WordPress, що свідчить про закінчення періоду відносного спокою, який спостерігали у грудні та січні.
Кілька фірм з кібербезпеки, що спеціалізуються на продуктах безпеки WordPress – такі як Wordfence, WebARX та NinTechNet – повідомили про постійно зростаючу кількість атак на сайти з WordPress. Усі нові атаки, помічені минулого місяця, зосереджувались на використанні помилок у плагінах WordPress, а не на використанні самого WordPress. У багатьох атаках,заснованих на використанні помилок у плагінах, хакери сподівалися захопити сайти, перш ніж адміністратори сайтів мали можливість застосувати виправлення безпеки. Однак деякі атаки також були дещо складнішими. Деякі зловмисники також виявили та почали експлуатувати “нульові дні”- термін, який використовується для опису уразливостей, невідомих авторам плагінів.
Нижче наведено короткий виклад усіх кампаній зламу WordPress, які відбулися у лютому, і які спрямовані на використання нових помилок плагінів WordPress. Адміністраторам веб-сайтів рекомендується оновлювати всі перелічені нижче плагіни WordPress, оскільки вони, ймовірно, будуть використовуватися протягом усього 2020 року, а можливо, і в наступному році.
Згідно з доповіддю Wordfence, з середини лютого хакери використовували помилку в Duplicator – плагіні, який дозволяє адміністраторам сайтів експортувати вміст своїх сайтів. Помилка, виправлена в версії 1.3.28, дозволяє зловмисникам експортувати копію сайту, звідки вони можуть витягувати облікові дані бази даних, а потім викрадати базовий сервер MySQL, що належить WordPress. Що ще гірше, Duplicator – це один з найпопулярніших плагінів на порталі WordPress. На момент атаки, приблизно 10 лютого, було зафіксовано більше одного мільйона сайтів, що використовують цей плагін. Duplicator Pro, комерційна версія плагіна, встановлена ще на 170 000 сайтів, також була зламана.
Також є ще одна значна помилка у безкоштовній та платній версіях плагіну Profile Builder. Помилка може дозволити хакерам зареєструвати несанкціоновані облікові записи адміністраторів на сайтах WordPress. Помилка була виправлена 10 лютого, але атаки почалися 24 лютого, в той самий день, коли в Інтернеті був опублікований код підтвердження концепції. Як вважають експерти, принаймні дві групи хакерів експлуатують цю помилку. Більше 65 000 сайтів (50 000 на безкоштовній версії та 15 000 на комерційній версії) вразливі до атак, якщо їхні адміністратори не оновлять плагін до останньої версії.
Ті ж дві хакерські групи також використовують помилку аналогічного типу в ThemeGrill Demo Importer – плагіні, який постачається з темами, проданими ThemeGrill, постачальником комерційних тем WordPress. Плагін встановлений на більш ніж 200 000 сайтів, і помилка дозволяє користувачам анонімно редагувати сайти, які працюють з уразливою версією, а потім, якщо виконуються деякі умови, захопити обліковий запис “адміністратора” або стерти базу даних. Такі атаки підтвердили Wordfence, WebARX та незалежні дослідники у Twitter. Код підтвердження концепції також доступний в Інтернеті. Оновлення до версії 1.6.3 рекомендується якомога швидше, оскільки помилка актуальна для плагіну версії 1.3.4 і вище.
Також були помічені атаки на ThemeREX Addons – плагін WordPress, який постачається з попередньо встановленими комерційними темами ThemeREX. Згідно з доповіддю Wordfence, атаки розпочалися 18 лютого, коли хакери виявили в плагіні “нульовий день” та почали використовувати його для створення облікових записів адміністраторів на вразливих сайтах. Незважаючи на постійні атаки, ThemeREX Addons ще не пропатчили і навряд чи будуть випускати виправлення, а тому адміністраторам сайтів рекомендується якнайшвидше видалити плагін зі своїх сайтів.
Схожі атаки також спрямовані на сайти, на яких розміщено гнучкі поля оформлення замовлення для плагіна WooCommerce, встановлені на більш ніж 20 000 сайтах електронної комерції на базі WordPress. Хакери використовували (тепер виправлену) вразливість нульового дня, щоб вводити корисні навантаження XSS, які можуть бути застосовані для зламу інформаційній панелі адміністратора, який вже увійшов на сайт. Корисні навантаження XSS дозволили хакерам створювати адміністративні екаунти на вразливих сайтах. Атаки тривають з 26 лютого, тому потрібно оновити цей плагін до останньої версії
Три подібні “нульові дні” також були виявлені у Async JavaScript, 10Web Map Builder для Google Maps, модулів Modern Events Calendar Lite. Ці плагіни використовуються на 100 000, 20 000 та 40 000 сайтах відповідно. Усі три “нульові дні” використовувалися для введення корисних навантажень XSS. Усі три плагіни вже отримали виправлення, але атаки розпочалися ще до появи патчів, тобто деякі сайти, швидше за все, були зламані.
Нагадаємо, використовуючи реквізити платіжних карток громадян інших держав, зловмисник купував товари в Інтернет-магазинах. Далі продавав їх у соціальних мережах українцям.
Окрім цього, прогалини в безпеці знайдені в продуктах Amazon, Apple, Google, Samsung, Raspberry, Xiaomi, а також точках доступу від Asus і Huawei.
До речі, рекламні агенції, що надавали послуги з розміщення реклами, в тому числі на сайтах онлайн-кінотеатрів, своєю діяльністю забезпечували функціонування ресурсів з піратським контентом.
Зверніть увагу, цього року Facebook святкує 16 років від дати створення. За цей час багато користувачів активно наповнювали власні сторінки сотнями фото, даними про місця навчання чи роботи, сім’ю та друзів. Щоб така “колекція” особистої інформації не була використана у зловмисних цілях, власникам потрібно регулярно переглядати та змінювати параметри конфіденційності власної сторінки.
Також довгий час більшість користувачів вважали, що загроз для Linux значно менше, ніж для Windows чи macOS. Однак останнім часом комп’ютерні системи та додатки на базі цієї операційної системи все частіше стають об’єктами атак кіберзлочинців.
