На прошлой неделе исследователи безопасности из Seravo и WP Charged сообщили о критической уязвимости нулевого дня в The Plus Addons для Elementor 8 марта 2021 года. WPScan классифицировал ее как уязвимость обхода аутентификации:
Плагин активно используется злоумышленниками для обхода аутентификации, позволяя неаутентифицированным пользователям входить в систему как любой пользователь (включая администратора), просто предоставляя соответствующее имя пользователя, а также создавая учетные записи с произвольными ролями, такими как admin. Эти проблемы могут быть использованы, даже если регистрация отключена и виджет входа в систему не активен.
Важно отметить, что эта конкретная уязвимость затрагивает пользователей коммерческой версии The Plus Addons for Elementor, а не бесплатной версии и не ядра Elementor.
Авторы плагина выпустили частично исправленную версию 4.1.6 после раскрытия, а затем вторую версию 4.1.7, чтобы более полно решить проблему.
Wordfence сообщает, что они все еще блокируют попытки на сайтах, на которых не установлены исправления. Они заблокировали 1900 попыток захвата сайта с определенного имени пользователя, заблокировали 1170 попыток с определенного адреса электронной почты и заблокировали 4000 попыток за последнюю неделю. Злоумышленники по-прежнему нацелены на сайты, которые не обновились до исправленной версии.
«Имеющиеся данные свидетельствуют о том, что он активно эксплуатировался в течение ~ 5 дней до этого», – заявила сегодня на шоу Wordfence Live аналитик угроз Wordfence Хлоя Чемберленд . «Нашей самой ранней датой компромисса было 5 марта, о которой мы знаем до сих пор. В течение нескольких дней существовала уязвимость, о которой никто не знал, кроме этого злоумышленника, который выходил и использовал ее ».
Те, чьи сайты подвергались эксплуатации, видели создание злонамеренных учетных записей администраторов. Другие сталкивались с перенаправлением каждого URL-адреса на своих сайтах, что очень затрудняло очистку. Злоумышленники также устанавливают вредоносные плагины под названием «WP Strongs» и «WP Staff». Тем, кто не может получить доступ к панели администратора, будет сложнее удалить эти плагины.
Пользователям Elementor, у которых установлен плагин Plus Addons, рекомендуется обновить его до последней версии и проверить наличие вредоносных плагинов и файлов. В идеале владельцы сайтов, подвергшихся атакам, должны иметь резервную копию для восстановления. Сегодня Чемберленд завершил трансляцию Wordfence Live, проведя пользователей через ручную очистку взломанных сайтов, включая замену папок wp-includes и wp-admin вместе со стандартными файлами вне этих каталогов. Записи может быть полезным для тех , кто изо всех сил , чтобы очистить повреждение.
