Хакеры массово сканируют интернет в поисках WordPress-сайтов с уязвимыми темами

[Artifact]

Хакеры могут проэксплуатировать связку недавно исправленных уязвимостей в Epsilon Framework, удаленно выполнить код и получить контроль над сайтом.

Киберпреступники массово сканируют интернет в поисках уязвимого фреймворка для создания WordPress-тем Epsilon Framework.
Специалисты Wordfence Threat Intelligence https://www.wordfence.com/blog/2020/...mework-themes/более 7,5 млн попыток эксплуатации уязвимостей более чем на 1,5 млн сайтов под управлением WordPress.
Epsilon играет роль фундамента для множества различных WordPress-тем, в том числе Shapely, NewsMag, Activello и 12 других. По словам специалистов, злоумышленники могут проэксплуатировать связку недавно исправленных уязвимостей в фреймворке, удаленно выполнить код и получить контроль над атакуемым сайтом.
Уязвимости в темах для сайтов под управлением WordPress, созданных с помощью Epsilon Framework, являются еще одним примером неотъемлемых рисков безопасности, связанных с данной системой управления контентом. Вредоносный код в сторонних плагинах и фреймворках значительно расширяет поверхность атак на WordPress-сайты. В связи с этим владельцы сайтов должны проявлять осторожность при использовании сторонних плагинов и фреймворков и быть в курсе обновлений безопасности.
Проблемы представляют собой уязвимости внедрения функции, затрагивающие порядка 150 тыс. ресурсов. На данный момент специалисты наблюдают скачок в количестве атак, идущих с 18 тыс. IP-адресов.
«Хотя время от времени мы наблюдаем атаки на большое количество сайтов, большинство из них нацелены на более старые уязвимости. Эта волна атак нацелена на уязвимости, которые были устранены только в последние несколько месяцев», - сообщили специалисты.
Пока что атаки являются пробными, и атакующие лишь проверяют наличие уязвимого плагина, не эксплуатируя всю связку уязвимостей с целью удаленного выполнения кода. Злоумышленники используют POST-запросы к файлу admin-ajax.php, поэтому не оставляют записей журнала (правда, запросы видны через Wordfence Live Traffic).
«Мы пока не предоставляем дополнительных подробностей об атаках, поскольку эксплоит еще недоработан, и используется множество IP-адресов, - сообщили исследователи.