Уязвимость плагина для WordPress привела к массовым взломам сайтов

В популярном плагине для системы управления контентом сайта WordPress обнаружена критическая уязвимость, которая активно эксплуатируется в настоящее время. Частная калифорнийская компания Sucuri сообщает, что с начала месяца число таких взломов превысило пятьдесят тысяч.

Уязвимость в новостном плагине MailPoet позволяет загружать на взломанный сайт вредоносный код и перехватывать управление. Ошибка была обнаружена ещё месяц назад и устранена в версии плагина 2.6.7, вышедшей первого июля. Однако в сети до сих пор остаётся большое число сайтов, на которых WordPress рабтает с непропатченным плагином. Только из официального репозитория уязвимая версия была скачена около двух миллионов раз.

Исследование проблемы заняло у экспертов Sucuri трое суток. После длительного мониторинга с использованием имитаторов уязвимых сайтов они выяснили, что атака в большинстве случаев выполняется автоматически, а её темпы растут.

Обычно взлом происходит при участии ботнетов и начинается с команды загрузки злонамеренно модифицированной темы (editTemplate). После этого бэкдор внедряется в /themes/mailp/, инфицирует /mailp/index.php и начинает заражать другие файлы. Основная задача атакующей стороны – получить контроль над сайтом, для выполнения таких действий, как дефейс, рассылка спама и распространение троянских программ.