5,5 млн попыток взлома: плагин WP Automatic стал обузой для 30 000 сайтов WordPress

Киберпреступники начали эксплуатировать критическую уязвимость в плагине WP Automatic для WordPress, что позволяет создавать учетные записи с административными привилегиями и устанавливать бэкдоры для долгосрочного доступа.

Плагин WP Automatic, установленный более чем на 30 000 сайтах, позволяет администраторам автоматизировать импорт контента (тексты, изображения, видео) из различных источников для публикации на сайте WordPress.

Уязвимость SQL-инъекции CVE-2024-27956 (оценка CVSS: 9.9) затрагивает версии WP Automatic до 3.9.2.0. Ошибка была обнародована 13 марта исследователями из PatchStack. Она

Проблема заключается в механизме аутентификации пользователей плагина, который можно обойти, чтобы отправлять SQL-запросы к базе данных сайта. Злоумышленники используют специально подготовленные запросы для создания учетных записей администратора на целевом сайте.

С момента публикации информации об уязвимости, служба WPScan от Automattic зафиксировала более 5,5 млн. попыток атак, большинство из которых приходится на 31 марта.

После получения административного доступа к сайту, атакующие создают бэкдоры и обфусцируют код, чтобы усложнить его обнаружение. Для предотвращения доступа других хакеров к сайту через ту же уязвимость и для избежания обнаружения, злоумышленники также переименовывают уязвимый файл в «csv.php».

При установлении контроля над сайтом, киберпреступники часто устанавливают дополнительные плагины, позволяющие загружать файлы и редактировать код.

WPScan предоставляет ряд индикаторов компрометации (IoC), которые могут помочь администраторам определить, был ли их сайт взломан. К признакам относятся наличие учетной записи администратора, начинающейся с «xtw», и файлы под названием web.php и index.php, которые являются бэкдорами, установленными в ходе недавней кампании.

Для минимизации риска взлома, исследователи рекомендуют администраторам сайтов WordPress обновить плагин WP Automatic до версии 3.92.1 или более поздней. Также рекомендуется регулярно создавать резервные копии сайта, чтобы в случае компрометации можно было быстро восстановить его из копии.