Атаки на WordPress 4.7. Появление записей c текстом “Hacked By…”

Последнее время зафиксирован рост эксплуатации обнаруженной недавно уязвимости WordPress. На сайтах, работающих под управлением CMS WordPress и других популярных CMS, обнаружены попытки проведения веб-атаки с использованием уязвимости в публикации постов через механизм REST API с повышением привилегий. Под угрозой сайты, работающие под WordPress 4.7 и 4.7.1. Если сайт не защищен или не обновлен до версии 4.7.2, то подобная атака завершается успешной заменой оригинального контента блога. И вот он результат:

 

 

Все атаки выполняются автоматизированно скриптами. В подавляющем большинстве случаев инжекты произвольного кода ограничиваются страницами а-ля “дейфейс” или попытками хакерских групп самоутвердиться, оставляя отпечаток “Hacked By <хакерское имя>”. В данном случае "Hacked by MuhmadEmad".

Используется достаточно простой алгоритм внедрения произвольного кода или замены содержимого поста: хакерский бот запрашивает страницу http://сайт/index.php/wp-json/wp/v2/posts/, получает массив публикаций, берет первый элемент (это самая последняя публикация в WordPress) и заменяет в ней контент на свой.

Опасность атаки в том, что таким образом можно автоматизировать внедрение мобильных редиректов (например, по расписанию добавлять код, затем удалять его), спам-ссылки и SEO-контент, а если в WordPress используются плагины, которые интерпретируют код как php, то это прямая дорога к RCE (удаленному исполнению кода).

Самый простой способ предотвратить внедрение кода – это обновить WordPress до 4.7.2, где данная уязвимость была исправлена. Если же по какой-то причине это невозможно, мы бы рекомендовали на уровне веб-сервера или .htaccess файла заблокировать адреса, в которых встречается “/wp/v2/posts/”. Например:

RewriteEngine On

RewriteRule /wp/v2/posts/ - [F,L]

Источник: http://www.securitylab.ru/blog/company/revisium/339265.php