Критическая уязвимость в плагине Burst Statistics позволяет злоумышленникам захватывать сайты WordPress - уже зафиксировано более 112 тысяч попыток атак

Суть проблемы заключается в ошибке обработки возвращаемого значения в функции "is_mainwp_authenticated()". Когда плагин проверяет пароли приложений из заголовка Authorization, он некорректно определяет результат аутентификации. Это позволяет неавторизованному злоумышленнику, знающему имя администратора сайта, выдать себя за этого администратора в рамках одного запроса. Для этого достаточно отправить REST API-запрос с заголовком X-BurstMainWP: 1 и произвольными учётными данными Basic Authentication. Плагин ошибочно считает запрос аутентифицированным и устанавливает в качестве текущего пользователя того администратора, чьё имя было указано. Таким образом атакующий получает доступ к функциям REST API на уровне администратора, например, к возможности создать новую учётную запись с правами администратора.

Эксплуатация уязвимости началась практически мгновенно. Согласно данным Wordfence, атаки стартовали в тот же день, когда информация об уязвимости была опубликована - тринадцатого мая. Массовая эксплуатация пришлась на период с пятнадцатого по двадцать первое мая. Межсетевой экран Wordfence заблокировал уже более ста двенадцати тысяч восьмисот попыток. В отчёте компании приводятся IP-адреса, с которых поступало больше всего запросов.

Механизм атаки выглядит следующим образом. Злоумышленник отправляет POST-запрос на эндпоинт /wp-json/wp/v2/users. В теле запроса передаются данные нового пользователя: имя, адрес электронной почты, пароль и роль - в данном случае "administrator". Запрос содержит специальный заголовок X-BurstMainWP: 1 и любые произвольные учётные данные в заголовке Authorization. Из-за ошибки в функции проверки плагин считает, что запрос выполняется от имени администратора, чьё имя было указано в Basic Authentication (хотя пароль может быть любым). В результате на сайте создаётся новая учётная запись с полными правами, что позволяет атакующему полностью захватить контроль над сайтом. После этого злоумышленник может устанавливать вредоносные плагины, изменять содержимое страниц, красть данные посетителей или использовать сайт для дальнейших атак.

Пользователям плагина настоятельно рекомендуется как можно скорее обновить Burst Statistics до версии 3.4.2. Wordfence рекомендует проверить список всех учётных записей WordPress и удалить незнакомых администраторов, особенно созданных тринадцатого мая или позже. Также стоит изучить журналы сервера на предмет запросов, содержащих заголовок X-BurstMainWP: 1, и обращений к эндпоинту /wp-json/wp/v2/users с перечисленных IP-адресов.

Ситуация с этой уязвимостью служит очередным напоминанием о важности своевременного обновления плагинов для систем управления контентом. WordPress остаётся одной из самых популярных платформ для создания сайтов, а плагины сторонних разработчиков нередко содержат ошибки, которые могут привести к полной компрометации ресурса. Burst Statistics устанавливают на двести тысяч площадок, и значительная их часть, вероятно, до сих пор не получила исправление. Злоумышленники активно используют автоматизированные сканеры для поиска уязвимых сайтов, и любое промедление с установкой патча повышает риск взлома. В данном случае уязвимость не требует сложных технических навыков для эксплуатации - достаточно знать имя администратора, которое часто можно узнать через стандартные методы разведки, например, через публичные страницы авторов блогов. Поэтому администраторам сайтов необходимо провести ревизию учётных записей, сменить пароли, а также настроить мониторинг подозрительных запросов к REST API. Использование надёжных межсетевых экранов и систем обнаружения вторжений также может помочь снизить риски, но главным средством защиты остаётся своевременное обновление всех компонентов сайта.

IPv4

• 103.132.9.132
• 116.212.132.83
• 116.212.139.132
• 118.67.205.30
• 118.67.205.88
• 159.65.141.85
• 188.166.247.192
• 210.247.204.106
• 45.156.87.207
• 84.201.6.54