Три критические уязвимости нулевого дня в плагинах WordPress подвергли атакам 160,000 XNUMX веб-сайтов после того, как исследователь безопасности публично раскрыл недостатки до того, как были доступны исправления.
Плагины Yuzo Related Posts и WordPress Customizer для WordPress, используемые 60,000 30,000 и XNUMX XNUMX веб-сайтов соответственно, подверглись атаке, когда об их нарушениях кода стало известно в Интернете.
Когда посты Zero Day были опубликованы, оба плагина были удалены из репозитория плагинов WordPress, в результате чего веб-сайты удалили плагины, иначе они могли атаковать себя. Yellow Pencil выпустила исправление через три дня после того, как уязвимость была выпущена, но плагин Yuzo Related Posts остается закрытым, так как никаких исправлений не было.
Кроме того, подключаемый модуль Social Warfare, используемый на 70,000 XNUMX сайтов, подвергся безумным эксплойтам после публичного раскрытия недостатков безопасности в его коде. Разработчики плагина быстро исправили недостаток, но, к сожалению, было слишком поздно, потому что сайты, которые его использовали, уже были взломаны.
Уязвимости плагинов.
Три уязвимых плагина были взломаны, чтобы перенаправлять посетителей на сайты, пропагандирующие мошенничество с технической поддержкой и другие виды онлайн-мошенничества.
Однако общим для всех моментом является тот факт, что уязвимости возникли после того, как сайт Plugin Vulnerabilities опубликовал подробные статьи, раскрывающие основные уязвимости. Эти сообщения содержали достаточно технических подробностей и экспериментальный код эксплойта, чтобы хакеры могли легко использовать эту информацию для атаки на уязвимые плагины и ухудшения ситуации, а часть кода, используемого в атаках, явно скопирована. вставлено из плагина сообщений. Уязвимости.
Как только были обнаружены уязвимости, связанные с желтым карандашом и темой социальной войны, хакеры использовали их в течение нескольких часов. Zero Day, The Yuzo Related Posts, находился в открытом доступе в течение 11 дней, прежде чем был использован.
Исследователь безопасности уязвимостей плагинов, который отвечает за публикацию статей с подробным описанием уязвимостей нулевого дня, объяснил, почему он решил это сделать. Ars TechnicaДиктиндо:
«Наша текущая политика раскрытия информации состоит в том, чтобы раскрывать все уязвимости, а затем сообщать разработчику через форум поддержки WordPress, даже если модераторы появляются… слишком часто, просто удаляйте эти сообщения и никому не сообщайте».
По сути, исследователь безопасности решил опубликовать уязвимости нулевого дня на своем сайте после того, как его сообщения об уязвимостях были удалены с форума поддержки WordPress за нарушение их правил. Информирование разработчиков об уязвимостях нулевого дня — это одно, а размещение их публично в месте, доступном для всех, включая хакеров, — это совсем другое.
через Ars Technica
