Уязвимые плагины угрожают десяткам тысяч сайтов на WordPress

Специалисты исследовательской компании ThreatPress сообщили о серьезных уязвимостях в 11 плагинах для системы управления сайтами WordPress. Их эксплуатация позволяет удаленному злоумышленнику загружать на страницу кейлоггеры, программы для генерации криптовалюты и другое вредоносное ПО. В ряде случаев киберпреступники могут полностью захватить управление веб-ресурсом или вывести его из строя.

Исследователи из ThreatPress проинформировали Multidots о найденных уязвимостях 8 мая. Разработчик подтвердил их наличие, однако спустя три недели так и не объявил дату выпуска патчей, после чего эксперты сообщили о проблеме ИБ-специалистам WordPress, и вредоносные плагины удалили из репозитория платформы.

Баги выявлены в плагинах, созданных компанией Multidots, специализирующейся на расширениях для WordPress-платформы WooCommerce. Исследователи обнаружили четыре уязвимости, связанные с межсайтовым скриптингом, межсайтовой подделкой запроса, неавторизованным изменением настроек и внедрением SQL-кода.

На долю скомпрометированных расширений приходится более 19 тыс. активных установок. Под ударом оказались плагины:

• WooCommerce Category Banner Management
• Add Social Share Messenger Buttons WhatsApp and Viber
• Advance Search for WooCommerce
• Eu Cookie Notice
• Mass Pages/Posts Creator
• Page Visit Counter
• WooCommerce Checkout For Digital Goods
• WooCommerce Enhanced Ecommerce Analytics Integration with Conversion Tracking
• WooCommerce Product Attachment
• Woo Quick Reports

Для эксплуатации некоторых багов необходимо заманить пользователя, обладающего правами администратора, на страницу, содержащую вредоносный скрипт, однако часть атак может быть выполнена без участия жертвы.

Компрометация сайтов через плагины Multidots может повлечь за собой утечку персональных данных посетителей уязвимых ресурсов. Платформа WooCommerce является специализированным решением для создания интернет-магазинов на базе WordPress, поэтому среди доступных злоумышленнику сведений могут оказаться номера банковских карт и другая финансовая информация.

Несмотря на то что проблемные приложения больше не доступны для загрузки, владельцы сайтов, уже установившие продукты Multidots, все еще находятся под ударом. ThreatPress опубликовала PoC-код и технические детали уязвимостей, поэтому злоумышленники могут использовать обнаруженные бреши для атак.

Как и любая система, допускающая использование расширений, WordPress регулярно испытывает проблемы с безопасностью, связанные с продуктами сторонних разработчиков. Недавно ИБ-эксперты сообщили о бреши в плагине JetPack, позволяющей перенаправлять посетителей скомпрометированного сайта на другие ресурсы.

Ранее стало известно о трех плагинах, которые обзавелись бэкдором после того, как сменили владельца. Новый хозяин расширений оказался киберпреступником и распространял программы для внедрения спам-ссылок на скомпрометированные сайты.

C аналогичной проблемой столкнулись пользователи плагина Captcha — после продажи расширение стало загружать в систему вредоносный код через учетную запись администратора ресурса.

‏Source threatpost.ru