Злоумышленники пытались извлечь конфигурационные файлы из дерева с сайтов на WordPress, чтобы похитить учетные данные из базы сайта.

 

В течение прошедших выходных дней была предпринята масштабная акция на web-сайты, работающие на WordPress: атака концентрировалась на известных уязвимостях в плагинах, использующихся для загрузки файлов конфигурации с сайтов WordPress.

Целью атаки была загрузка или экспорт файлов wp-config.php с непропатченных веб-сайтов (администраторы которых не установили обновления и патчи безопасности), извлечение учетных данных из базы и использование логинов и паролей для извлечения баз данных.

Со слов Рама Галла, аналитика систем безопасности «Wordfence» (веб-приложение (WAF)) — атака на прошлых выходных имела сравнительно крупные масштабы в сравнении с прочими.

Галл сказал: «Эта акция — 75% всех попыток использования уязвимостей плагинов, направленных на WordPress».

WordFence представило следующую диаграмму атак (опубликованную сегодня в составе общего предупреждения по безопасности); атаки по извлечению конфигурации утроились в сравнении с другими видами атак на сайты WordPress:

Изображение: Wordfence

 

«Wordfence» заблокировало более 130 миллионов попыток эксплуатации уязвимостей плагинов только в своей сети, которая была нацелена на более чем 1,3 миллиона сайтов WordPress, однако считается, что атаки были направлены еще на многие другие сайты, не охватываемые сетью защиты компании.

Также, «Wordfence» информирует, что атаки шли из сети, состоящей из 20 000 различных IP-адресов. Большинство из этих IP-адресов также ранее использовались в предыдущей крупномасштабной акции, которая прошла в начале мая на сайты WordPress.

 

Тогда эксплуатировался пакет уязвимостей XSS (межсайтовый скриптинг) и пытался установить новых пользователей-администраторов и ввести бэкдоры. Предыдущая акция была столь же объёмной, — атаки XSS группы перевешивали все предыдущие атаки этого класса, проводимые другими группами вместе:

 

Галл считает, что эти две кампании, хотя и были нацелены на разные уязвимости, тем не менее, скорее всего, были организованы одним и тем же инициатором.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

GPD ХОСТИНГ КОНТАКТЫ
GPD ХОСТИНГ СОЦ.СЕТИ
МЕТОДЫ ОПЛАТЫ