Плъгинът Total Donations сериозно застрашава сигурността на WordPress сайтовете, които го използват. Единственият начин да бъдат предпазени от хакерски атаки е плъгинът да бъде изтрит от сървърите. Само така собствениците на WordPress сайтове могат да попречат на хакерите да експлоатират все още непоправена zero-day уязвимост в кода, благодарение на която киберпрестъпниците изцяло поемат контрола над уязвимите сайтове.
Тази zero-day уязвимост не само съществува, а през изминалата седмица експертите по киберсигурност от Defiant са забелязали серия от хакерски атаки, които вече я експлоатират.
Още по-притеснителен е фактът, че уязвимостта засяга всички версии на Total Donations. Плъгинът е бил продаван през последните години от CodeCanyon.
Според Defiant кодът на плъгина има няколко уязвимости в дизайна, заради които WordPress сайтовете са изложени на външни манипулации и от неавтентикирани потребители.
Плъгинът съдържа AJAX крайна точка, която може да бъде заявена дистанционно от всеки неавтентикиран хакер. Тя се намира в един от файловете на плъгина, т.е. ако само деактивираме плъгина, всъщност няма да елиминираме опасността, тъй като хакерите могат просто директно да извикат този файл. Единствено премахването на плъгина изцяло може да защити сайтовете от атаки, експлоатиращи новооткритата zero-day уязвимост.
Благодарение на тази AJAX крайна точка хакерите могат да променят настройките на ядрото на WordPress сайтовете, настройките, свързани с плъгина, и сметката, в който трябва да се събират чрез плъгина даренията. Но това не е всичко – експлойтирайки тази zero-day уязвимост, хакерите могат дори да изтеглят пощенските списъци на Mailchimp, тъй като уязвимият плъгин поддържа и такава странична функция.
Специалистите по киберсигурност от Defiant са се опитали да се свържат с разработчика на плъгина, но безуспешно. Сайтът му е неактивен от май 2018 г., както и продуктовата листа на плъгина. Тогава множество потребители са започнали да се оплакват, че не са получили ъпдейти на плъгина за няколко докладвани на разработчика уязвимости.
Въпреки че плъгинът вероятно няма огромно количество потребители, опасността е сериозна, тъй като вероятно е инсталиран на активни сайтове с мащабни потребителски бази. Предимно такива сайтове могат да си позволят платен плъгин, а пък те винаги са били сред любимите мишени на хакерските групи.
Тази zero-day уязвимост на Total Donations е обозначена с идентификатора CVE-2019-6703, а от Defiant смятат да продължат да наблюдават внимателно хакерските атаки, за да проследят развитието на заплахата.
Снимка: Pexels
