Злоумышленники продолжают использовать уязвимости в надстройках Plus для подключаемого модуля Elementor

На прошлой неделе исследователи безопасности из Seravo и WP Charged сообщили о критической уязвимости нулевого дня в The Plus Addons для Elementor 8 марта 2021 года. WPScan классифицировал ее как уязвимость обхода аутентификации:

Плагин активно используется злоумышленниками для обхода аутентификации, позволяя неаутентифицированным пользователям входить в систему как любой пользователь (включая администратора), просто предоставляя соответствующее имя пользователя, а также создавая учетные записи с произвольными ролями, такими как admin. Эти проблемы могут быть использованы, даже если регистрация отключена и виджет входа в систему не активен.

Важно отметить, что эта конкретная уязвимость затрагивает пользователей коммерческой версии The Plus Addons for Elementor, а не бесплатной версии и не ядра Elementor.

Авторы плагина выпустили частично исправленную версию 4.1.6 после раскрытия, а затем вторую версию 4.1.7, чтобы более полно решить проблему.

Wordfence сообщает, что они все еще блокируют попытки на сайтах, на которых не установлены исправления. Они заблокировали 1900 попыток захвата сайта с определенного имени пользователя, заблокировали 1170 попыток с определенного адреса электронной почты и заблокировали 4000 попыток за последнюю неделю. Злоумышленники по-прежнему нацелены на сайты, которые не обновились до исправленной версии.

«Имеющиеся данные свидетельствуют о том, что он активно эксплуатировался в течение ~ 5 дней до этого», – заявила сегодня на шоу Wordfence Live аналитик угроз Wordfence Хлоя Чемберленд . «Нашей самой ранней датой компромисса было 5 марта, о которой мы знаем до сих пор. В течение нескольких дней существовала уязвимость, о которой никто не знал, кроме этого злоумышленника, который выходил и использовал ее ».

Те, чьи сайты подвергались эксплуатации, видели создание злонамеренных учетных записей администраторов. Другие сталкивались с перенаправлением каждого URL-адреса на своих сайтах, что очень затрудняло очистку. Злоумышленники также устанавливают вредоносные плагины под названием «WP Strongs» и «WP Staff». Тем, кто не может получить доступ к панели администратора, будет сложнее удалить эти плагины.

Пользователям Elementor, у которых установлен плагин Plus Addons, рекомендуется обновить его до последней версии и проверить наличие вредоносных плагинов и файлов. В идеале владельцы сайтов, подвергшихся атакам, должны иметь резервную копию для восстановления. Сегодня Чемберленд завершил трансляцию Wordfence Live, проведя пользователей через ручную очистку взломанных сайтов, включая замену папок wp-includes и wp-admin вместе со стандартными файлами вне этих каталогов. Записи может быть полезным для тех , кто изо всех сил , чтобы очистить повреждение.