Разрабатывающая плагины для WordPress компания iThemes на этой неделе предупредила пользователей об уязвимости в своём расширении BackupBuddy. Уязвимость делает возможным несанкционированный доступ со стороны злоумышленников, позволяя им красть конфиденциальные файлы и информацию. Уязвимость затрагивает сайты с версиями плагина BackupBuddy от 8.5.8.0 до 8.7.4.1. Владельцам сайтов следует обновиться до версии 8.7.5.
По словам представителей iThemes, хакеры уже активно используют уязвимость CVE-2022-31474 в затронутых системах, применяя определённые версии подключаемого модуля BackupBuddy. Эксплоит позволяет хакерам просматривать содержимое любого доступного для WordPress файла на сервере. Среди них и файлы с конфиденциальной информацией, включая /etc/passwd, /wp-config.php, .my.cnf и .accesshash. Эти файлы способны давать несанкционированный доступ к сведениям о системном пользователе, настройкам базы данных WordPress и разрешениям на аутентификацию на сервере в качестве пользователя root.
Администраторы и другие сотрудники сайтов могут определить, был ли взломан их сайт. Авторизованные пользователи могут просматривать содержащие файлы local-destination-id и /etc/passed или wp-config.php журналы сервера, которые при доступе к ним возвращают код ответа HTTP 2xx.
Компания Wordfence выявила миллионы попыток использования уязвимости, начиная с 26 августа. Администраторы сайтов должны проверять журналы сервера на наличие ссылок на вышеупомянутую папку с локальным идентификатором назначения и папку с локальной загрузкой. Атаки проводились со следующих IP-адресов:
Исследователи из iTheme дают пострадавшим советы для смягчения последствий и предотвращения дальнейшего несанкционированного доступа. Среди них сброс паролей базы данных WordPress, изменение солей WordPress, обновление ключей API в файле wp-config.php, обновление паролей и ключей SSH. При желании для получения помощи можно отправить заявку в службу поддержки iThemes, пишет Techspot.