Атаки на Wordpress 4.7. Появление записей c текстом “Hacked By..."

Категория: 

Последнее время зафиксирован рост эксплуатации обнаруженной недавно уязвимости Wordpress. На сайтах, работающих под управлением CMS Wordpress и других популярных CMS, обнаружены попытки проведения веб-атаки с использованием уязвимости в публикации постов через механизм REST API с повышением привилегий. Под угрозой сайты, работающие под Wordpress 4.7 и 4.7.1. Если сайт не защищен или не обновлен до версии 4.7.2, то подобная атака завершается успешной заменой оригинального контента блога. И вот он результат:

 

 

Все атаки выполняются автоматизированно скриптами. В подавляющем большинстве случаев инжекты произвольного кода ограничиваются страницами а-ля “дейфейс” или попытками хакерских групп самоутвердиться, оставляя отпечаток “Hacked By <хакерское имя>”. В данном случае "Hacked by MuhmadEmad".

Используется достаточно простой алгоритм внедрения произвольного кода или замены содержимого поста: хакерский бот запрашивает страницу http://сайт/index.php/wp-json/wp/v2/posts/, получает массив публикаций, берет первый элемент (это самая последняя публикация в Wordpress) и заменяет в ней контент на свой.

Опасность атаки в том, что таким образом можно автоматизировать внедрение мобильных редиректов (например, по расписанию добавлять код, затем удалять его), спам-ссылки и SEO-контент, а если в Wordpress используются плагины, которые интерпретируют код как php, то это прямая дорога к RCE (удаленному исполнению кода).

Самый простой способ предотвратить внедрение кода – это обновить Wordpress до 4.7.2, где данная уязвимость была исправлена. Если же по какой-то причине это невозможно, мы бы рекомендовали на уровне веб-сервера или .htaccess файла заблокировать адреса, в которых встречается “/wp/v2/posts/”. Например:

RewriteEngine On

RewriteRule /wp/v2/posts/ - [F,L]

Источник: http://www.securitylab.ru/blog/company/revisium/339265.php