BI.ZONE фиксирует свыше 250 попыток атак на 13 организаций при помощи техники эксплуатации WordPress

При этом после публикации исследования Sucuri, где подробно описана техника эксплуатации, обнаружен резкий всплеск активности злоумышленников: более 250 попыток атак на 13 организаций за несколько дней.

Техника эксплуатации уязвимости найдена в модуле must-use plugins — это тип плагинов для WordPress, которые запускаются при каждой загрузке страницы и не требуют активации. Они представляют собой PHP-файлы, хранящиеся в директории wp-content/mu-plugins/, которые автоматически выполняются при загрузке страницы и не отображаются в панели администрирования.

Как правило, злоумышленники используют содержимое must-use plugins:

• для перенаправления посетителей ресурса на сторонние сайты и загрузки вредоносного ПО;
• эксплуатации веб-шелла, который действует как бэкдор;
• загрузки вредоносного JavaScript-кода.

Вектор атаки еще не получил оценку по шкале CVSS, однако специалисты BI.ZONE WAF определяют ее как критическую, поскольку эта техника позволяет обращаться к веб-шеллу.

В связи с тем что угроза связана с техникой эксплуатации системы WordPress, уязвимость не входит в базу известных CVE и многие средства защиты блокируют в рамках общих правил только последствия ее эксплуатации.

В качестве превентивной защиты специалисты рекомендуют компаниям обращать внимание на возможные изменения в работе приложения или отслеживать содержание директории mu-plugins. Исследователи BI.ZONE WAF уже разработали детектирующие правила для предотвращения эксплуатации техники, найденной в must-use plugins ПО WordPress.

BI.ZONE WAF обеспечивает многоуровневую защиту веб‑приложений и API, блокируя попытки эксплуатации известных уязвимостей и противодействуя ботнет‑активности.