Разрабатывающая плагины для WordPress компания iThemes на этой неделе предупредила пользователей об уязвимости в своём расширении BackupBuddy. Уязвимость делает возможным несанкционированный доступ со стороны злоумышленников, позволяя им красть конфиденциальные файлы и информацию. Уязвимость затрагивает сайты с версиями плагина BackupBuddy от 8.5.8.0 до 8.7.4.1. Владельцам сайтов следует обновиться до версии 8.7.5.

По словам представителей iThemes, хакеры уже активно используют уязвимость CVE-2022-31474 в затронутых системах, применяя определённые версии подключаемого модуля BackupBuddy. Эксплоит позволяет хакерам просматривать содержимое любого доступного для WordPress файла на сервере. Среди них и файлы с конфиденциальной информацией, включая /etc/passwd, /wp-config.php, .my.cnf и .accesshash. Эти файлы способны давать несанкционированный доступ к сведениям о системном пользователе, настройкам базы данных WordPress и разрешениям на аутентификацию на сервере в качестве пользователя root.

Администраторы и другие сотрудники сайтов могут определить, был ли взломан их сайт. Авторизованные пользователи могут просматривать содержащие файлы local-destination-id и /etc/passed или wp-config.php журналы сервера, которые при доступе к ним возвращают код ответа HTTP 2xx.

Компания Wordfence выявила миллионы попыток использования уязвимости, начиная с 26 августа. Администраторы сайтов должны проверять журналы сервера на наличие ссылок на вышеупомянутую папку с локальным идентификатором назначения и папку с локальной загрузкой. Атаки проводились со следующих IP-адресов:

• 195.178.120.89, заблокировано 1960065 атак.
• 51.142.90.255, заблокировано 482604 атаки.
• 51.142.185.212, заблокировано 366770 атак.
• 52.229.102.181, заблокировано 344604 атаки.
• 20.10.168.93, заблокировано 341309 атак.
• 20.91.192.253, заблокировано 320187 атак.
• 23.100.57.101, заблокировано 303844 атаки.
• 20.38.8.68, заблокировано 302136 атак.
• 20.229.10.195, заблокировано 277545 атак.
• 20.108.248.76, заблокировано 211924 атаки.

Исследователи из iTheme дают пострадавшим советы для смягчения последствий и предотвращения дальнейшего несанкционированного доступа. Среди них сброс паролей базы данных WordPress, изменение солей WordPress, обновление ключей API в файле wp-config.php, обновление паролей и ключей SSH. При желании для получения помощи можно отправить заявку в службу поддержки iThemes, пишет Techspot.