WordPress, Joomla, Craft CMS. Хакеры массово взламывают сайты по всему миру через 15 уязвимостей

leer en español

5230
WordPress, Joomla, Craft CMS. Хакеры массово взламывают сайты по всему миру через 15 уязвимостей

Специалисты предупредили о кампании по взлому сайтов малого и среднего бизнеса.

image

Злоумышленники массово взламывают сайты по всему миру и устанавливают на серверы скрытые средства, чтобы удалённо управлять ими. Кампания уже затронула множество малых и средних компаний в Австралии, однако атаки не ограничены одной страной.

Австралийский центр кибербезопасности сообщил, что атакующие автоматически сканируют сайты и ищут уязвимые системы управления содержимым и расширения. Найденные ошибки позволяют загружать файлы без авторизации, выполнять команды на сервере, отправлять запросы от его имени или обрабатывать специально подготовленные данные.

После того как сайт взломан, злоумышленники устанавливают веб-оболочки, которые дают постоянный удалённый доступ к серверу. Через них преступники могут менять или отключать сайты, перехватывать введённые посетителями пароли, похищать хранящиеся данные, загружать вредоносные программы и использовать сервер как точку входа во внутреннюю сеть компании.

В кампании применяют уязвимости в следующих программах и расширениях:

Simple File List для WordPressCVE-2020-36847 (9.8 Critical). Указанная в предупреждении CVE-2025-34085 отклонена как дубликат этой уязвимости;
WavePlayer для WordPress – CVE-2025-12057 (9.8 Critical);
BerqWP для WordPress – CVE-2025-7443 (8.1 High);
WPBookit для WordPress – CVE-2025-7852 (9.8 Critical);
Ninja Forms File Uploads для WordPress – CVE-2026-0740 (9.8 Critical);
ThemeREX Addons для WordPress – CVE-2026-1969 (9.8 Critical);
Breeze Cache для WordPress – CVE-2026-3844 (9.8 Critical);
pay-uz для WordPress – CVE-2026-31843 (10.0 Critical);
Advanced Custom Fields: Extended для WordPress – CVE-2025-13486 (9.8 Critical);
Sneeit Framework для WordPress – CVE-2025-6389 (9.8 Critical);
WPvivid Backup & Migration для WordPress – CVE-2026-1357 (9.8 Critical);
Gravity Forms для WordPress – CVE-2025-12352 (9.8 Critical);
GutenKit и Hunk Companion для WordPress – CVE-2024-9234 (9.8 Critical). Австралийский центр кибербезопасности считает связь атак с этой уязвимостью вероятной;
Craft CMS – CVE-2025-32432 (9.8 Critical);
MaxSite CMS – CVE-2026-3395 (7.3 High);
MetInfo CMS – CVE-2026-29014 (9.8 Critical);
Joomla Content Editor – CVE-2026-48907 (10.0 Critical).

Австралийские специалисты советуют проверить каталоги сайтов и расширений на неизвестные или недавно изменённые файлы, а журналы доступа – на подозрительные запросы GET и POST. Сервер с найденной веб-оболочкой следует считать полностью скомпрометированным, изолировать от сети и проверить, не появились ли новые учётные записи и вредоносные программы, не пытались ли атакующие вывести данные и не перемещались ли они между системами.

Администраторам также рекомендуют изучить более ранние записи в журналах и найти запросы, через которые злоумышленники могли первоначально взломать сайт и загрузить веб-оболочку. Сетевые журналы и записи межсетевых экранов помогут обнаружить соединения заражённого сервера с внешними адресами.

Уязвимые компоненты нужно обновить, а расширения без исправлений временно отключить. После того как вредоносные файлы удалят или изолируют, сервер нельзя возвращать в сеть, пока его полностью не проверят. Если сайт взломан, его рекомендуют восстановить из недавней заведомо чистой резервной копии.

Чтобы дополнительно защититься, организациям предлагают запретить запись в каталоги сайта, где ничего не должно меняться, ограничить доступ к файлам и путям, контролировать, какие дочерние процессы запускает веб-сервер, и отделить общедоступные сайты от корпоративной сети. Если исправления устанавливаются автоматически, это тоже может сократить время, в течение которого сайт остаётся уязвимым.

Если нельзя полностью запретить создавать файлы, администраторам советуют контролировать любые изменения, которые выходят за рамки утверждённых работ. Такой подход помогает быстрее обнаружить веб-оболочку и сократить срок её работы на заражённом сервере.