Специалисты BI.ZONE WAF с февраля 2025 года фиксируют рост атак на сайты WordPress. При этом после публикации исследования Sucuri, где подробно описана техника эксплуатации, обнаружен резкий всплеск активности злоумышленников — 250 попыток атак на 13 организаций за несколько дней.
Техника эксплуатации уязвимости найдена в модуле must‑use plugins — это тип плагинов для WordPress, запускающихся при каждой загрузке страницы и не требующих активации. Эти плагины представляют собой PHP‑файлы, хранящиеся в директории wp-content/mu-plugins/. Плагины автоматически выполняются при загрузке страницы и не отображаются в панели администрирования.
Злоумышленники используют содержимое must‑use plugins:
для перенаправления посетителей ресурса на сторонние сайты и загрузки вредоносного ПО;
эксплуатации веб‑шелла, который действует как бэкдор;
загрузки вредоносного javascript‑кода.
Уязвимость не получила оценку по шкале CVSS, однако специалисты BI.ZONE определяют её как критическую, поскольку эта техника позволяет обращаться к веб‑шеллу. Кроме того, хоть угроза и связана с техникой эксплуатации системы WordPress, уязвимость не входит в базу известных CVE, и многие средства защиты блокируют в рамках общих правил только последствия её эксплуатации.
В качестве превентивной защиты специалисты BI.ZONE рекомендуют компаниям обращать внимание на возможные изменения в работе приложения или отсреживать содержимое директории mu-plugins. Исследователи BI.ZONE уже разработали детектирующие правила для предотвращения эксплуатации техники, найденной в плагине must‑use plugins ПО WordPress.
Источник новости: habr.com
