Поделиться
Bi.Zone фиксирует свыше 250 попыток атак на 13 организаций при помощи техники эксплуатации WordPress
С февраля 2025 г. специалисты Bi.Zone WAF фиксируют рост атак на сайты WordPress — системы управления контентом (CMS) с открытым исходным кодом. При этом после публикации исследования Sucuri, где подробно описана техника эксплуатации, обнаружен резкий всплеск активности злоумышленников: более 250 попыток атак на 13 организаций за несколько дней. Об этом CNews сообщили представители Bi.Zone.
Техника эксплуатации уязвимости найдена в модуле must-use plugins — это тип плагинов для WordPress, которые запускаются при каждой загрузке страницы и не требуют активации. Они представляют собой PHP-файлы, хранящиеся в директории wp-content/mu-plugins/, которые автоматически выполняются при загрузке страницы и не отображаются в панели администрирования.
Как правило, злоумышленники используют содержимое must-use plugins: для перенаправления посетителей ресурса на сторонние сайты и загрузки вредоносного ПО; эксплуатации веб-шелла, который действует как бэкдор; загрузки вредоносного JavaScript-кода.
Вектор атаки еще не получил оценку по шкале CVSS, однако специалисты Bi.Zone WAF определяют ее как критическую, поскольку эта техника позволяет обращаться к веб-шеллу.
В связи с тем что угроза связана с техникой эксплуатации системы WordPress, уязвимость не входит в базу известных CVE и многие средства защиты блокируют в рамках общих правил только последствия ее эксплуатации.
В качестве превентивной защиты специалисты рекомендуют компаниям обращать внимание на возможные изменения в работе приложения или отслеживать содержание директории mu-plugins. Исследователи Bi.Zone WAF уже разработали детектирующие правила для предотвращения эксплуатации техники, найденной в плагине must-use plugins ПО WordPress.
Bi.Zone WAF обеспечивает многоуровневую защиту веб‑приложений и API, блокируя попытки эксплуатации известных уязвимостей и противодействуя ботнет‑активности.
Короткая ссылка
