Уязвимости WordPress, используемые в кампании вредоносной рекламы

Согласно недавнему сообщению команды Wordfence, в настоящее время ведется кампания по вредоносной рекламе, нацеленная на сайты WordPress. Кампания использует раскрытые уязвимости плагинов, которые, если их не исправить, позволяют злоумышленникам осуществлять удаленную инъекцию кода через JavaScript. Код специально нацелен на внешний интерфейс сайта, и при правильном выполнении он позволяет злоумышленникам обманывать посетителей сайта, чтобы они нажимали на вредоносные объявления, которые перенаправляют пользователей на центральный домен.

Исследователи Wordfence из команды Defiant Threat Intelligence отмечают в посте, что в этой схеме как таковой нет ничего особенно нового. Конечно, TechGenix сообщал о множестве кампаний вредоносной рекламы в прошлом, а также о других проблемах безопасности WordPress. Однако внимание исследователей сам код, и этот журналист настоятельно рекомендует их углубленный анализ (с реальными примерами кода).

Основные моменты, сделанные в отношении вредоносного кода, можно найти в следующем отрывке из поста:

Большинство попыток XSS-инъекций, отслеженных в рамках этой кампании, были отправлены с IP-адресов, связанных с популярными хостинг-провайдерами. С учетом атак, исходящих с IP-адресов, на которых размещено несколько активных веб-сайтов, а также наших собственных доказательств зараженных сайтов, связанных с этой кампанией, вполне вероятно, что злоумышленник использует зараженные сайты для проведения XSS-атак через прокси.

На зараженном сайте, к которому у нас был доступ, мы обнаружили несколько оболочек PHP, которые могли бы выполнять эти атаки. Это были довольно распространенные типы веб-оболочек, и они не содержали специального кода, специально созданного для доставки попыток XSS, но могли получать произвольные команды от злоумышленника для запуска атак… Эта кампания продолжается. Мы ожидаем, что злоумышленники быстро воспользуются любыми подобными XSS-уязвимостями, которые могут быть раскрыты в ближайшем будущем. Обязательно регулярно проверяйте свои сайты WordPress на наличие доступных обновлений плагинов и тем. Даже если в журнале изменений обновления не упоминается исправление безопасности, возможно, разработчик забыл раскрыть характер исправления.

Эта кампания по вредоносной рекламе, нацеленная на WordPress, выдвигает на первый план три основные проблемы, которые привлекли внимание исследователей безопасности. Во-первых, вредоносная реклама в настоящее время является основной частью арсенала киберпреступников, и поэтому веб-администраторы должны знать об активности своих сайтов. Во-вторых, JavaScript может быть невероятно уязвимым кодом для использования в случае ошибок. Пользователи, обладающие техническими знаниями, могут рассмотреть возможность использования расширения браузера, такого как NoScript, чтобы иметь больший контроль над своей безопасностью при просмотре. Наконец, и это действительно должно быть здравым смыслом, исправление уязвимостей невероятно необходимо, если вы собираетесь предотвратить серьезные инциденты безопасности.