Главная страница » Индикаторы компрометации
0
1 день
Индикаторы компрометации

Массовая эксплуатация уязвимостей в плагинах WordPress: более 8.7 миллионов атак

information security

Эксперты по кибербезопасности зафиксировали масштабную кампанию по эксплуатации критических уязвимостей в популярных плагинах для WordPress - GutenKit и Hunk Companion. Атаки продолжаются спустя год после публикации исправлений, что подчеркивает важность своевременного обновления программного обеспечения.

Описание

Уязвимости позволяют неавторизованным злоумышленникам устанавливать и активировать произвольные плагины, что в конечном итоге приводит к удаленному выполнению кода. Плагин GutenKit, используемый на более чем 40 000 сайтов, содержит уязвимость CVE-2024-9234 с критическим рейтингом CVSS 9.8. Плагин Hunk Companion с 8 000 активных установок подвержен двум уязвимостям - CVE-2024-9707 и CVE-2024-11972 - с аналогичным уровнем опасности.

Изначально уязвимости были обнаружены через программу Bug Bounty 25 сентября и 3 октября 2024 года. Однако мониторинговая система Wordfence зафиксировала новую волну массовых атак 8 октября 2025 года, спустя год после первоначального раскрытия. Межсетевой экран Wordfence уже заблокировал более 8 755 000 попыток эксплуатации этих уязвимостей.

Технический анализ показал, что обе уязвимости связаны с неправильной настройкой проверки прав доступа в REST API ендпоинтов. В плагине GutenKit функция install_and_activate_plugin_from_external() в классе ActivePluginData использует параметр permission_callback, установленный в значение true, что делает endpoint gutenkit/v1/install-active-plugin общедоступным. Аналогичная проблема обнаружена в плагине Hunk Companion, где endpoint hc/v1/themehunk-import также доступен без авторизации.

Злоумышленники используют эти уязвимости для установки вредоносных плагинов, замаскированных под легитимное программное обеспечение. В ходе анализа обнаружены многочисленные образцы вредоносного кода, включая скрипты для создания бекдора, файловые менеджеры и инструменты для удаленного выполнения команд. Особую озабоченность вызывает использование обфусцированного кода, который начинается с валидного PDF-заголовка, но содержит вредоносный PHP-код с функциями массовой дефейсации, сниффинга сети и установки дополнительного вредоносного ПО.

Типичная атака на GutenKit включает POST-запрос к /wp-json/gutenkit/v1/install-active-plugin с указанием URL вредоносного ZIP-архива. Анализ одного из таких архивов показал наличие пароль-защищенного скрипта, который автоматически создает учетную запись администратора, файлового менеджера с возможностью загрузки и удаления файлов, а также нескольких обфусцированных backdoor-скриптов.

При атаках на Hunk Companion злоумышленники пытаются установить плагин wp-query-console, содержащий неисправленную уязвимость удаленного выполнения кода. Это демонстрирует распространенную тактику, когда attackers используют цепочку уязвимостей для достижения полного контроля над системой.

Статистика блокировок показывает устойчивую активность злоумышленников. Среди наиболее агрессивных IP-адресов, атакующих GutenKit, выделяются 13.218.47.110 (более 82 900 запросов) и 3.10.141.23 (более 82 400 запросов). Для Hunk Companion наиболее активными оказались адреса 3.141.28.47 (более 349 900 запросов) и 119.34.179.21 (более 300 600 запросов).

Специалисты настоятельно рекомендуют обновить GutenKit до версии 2.1.1 и Hunk Companion до версии 1.9.0. Для дополнительной защиты следует рассмотреть возможность блокировки перечисленных IP-адресов на уровне веб-сервера или брандмауэра. Регулярное обновление плагинов и использование надежных решений безопасности остается критически важным для защиты веб-ресурсов от постоянно эволюционирующих угроз.

Текущая ситуация демонстрирует, что даже спустя значительное время после публикации исправлений уязвимости продолжают активно эксплуатироваться. Это подчеркивает необходимость не только своевременного обновления, но и постоянного мониторинга безопасности и анализа журналов доступа на предмет подозрительной активности.

Индикаторы компрометации

IPv4

  • 119.34.179.21
  • 13.218.47.110
  • 18.116.40.45
  • 18.219.237.98
  • 193.233.134.136
  • 193.84.71.244
  • 194.87.29.184
  • 3.10.141.23
  • 3.133.135.47
  • 3.141.28.47
  • 3.144.26.200
  • 3.147.6.140
  • 3.148.175.195
  • 3.85.107.39
  • 52.56.47.51

IPv6

  • 2600:1f16:234:9300:70c6:9e26:de1a:7696
  • 2600:1f16:234:9300:f71:bed2:11e5:4080

Domains

  • cta.imasync.com
  • dari-slideshow.ru
  • dpaxt.io
  • drschischka.at
  • korobushkin.ru
  • ls.fatec.info
  • zarjavelli.ru

URI

  • /wp-json/gutenkit/v1/install-active-plugin
  • /wp-json/hc/v1/themehunk-import
Комментарии: 0
Похожие записи
0
18.07.2022
Уязвимости

Внезапное увеличение числа атак на уязвимость WordPress аддона конструктора страниц WPBakery

vulnerability
Команда Wordfence Threat Intelligence отслеживает внезапное увеличение числа попыток атак, направленных на аддоны Kaswara Modern WPBakery Page Builder. Эта продолжающаяся кампания пытается воспользоваться
0
13.10.2025
Индикаторы компрометации

Критическая уязвимость в плагине Service Finder Bookings активно эксплуатируется злоумышленниками

information security
Компания Wordfence сообщает о массовой эксплуатации критической уязвимости в плагине Service Finder Bookings для WordPress, позволяющей злоумышленникам получать несанкционированный доступ к учетным записям администраторов сайтов.
0
29.07.2025
Индикаторы компрометации

Критическая уязвимость в теме WordPress Alone: более 120 тысяч атак до публичного раскрытия

information security
Эксперты по кибербезопасности зафиксировали массовую эксплуатацию критической уязвимости в популярной теме Alone для WordPress, предназначенной для благотворительных и некоммерческих организаций.
0
01.05.2025
Индикаторы компрометации

Вредоносное ПО для WordPress маскируется под легитимный плагин для защиты от вредоносного ПО

security
Команда Wordfence Threat Intelligence выявила вредоносное ПО, маскирующееся под обычный плагин WordPress с названием 'WP-antymalwary-bot.php', обладающий функциями для сохранения доступа к сайту, скрытия плагина и удаленного выполнения кода.