В этот раз в плане дыр в безопасности отличился WordPress. В двух популярных плагинах обнаружены опасные уязвимости, а это значит, что миллионы сайтов оказались под угрозой. Впрочем, как и миллионы пользователей сайтов, правда, уже из-за фальшивой CAPTCHA. Виноваты в этом, что неудивительно, хакеры и стилер Lumma. Далее расскажем об этом подробнее.
Уязвимость в плагине WPForms
В плагине WPForms, который используется более чем на 6 миллионах сайтов WordPress, была обнаружена уязвимость с идентификатором CVE-2024-11205. Эта проблема позволяет пользователям возвращать средства через Stripe или отменять подписки. И хотя уязвимость не является критической, она все же может представлять угрозу, так как даже аутентифицированные пользователи с правами уровня subscriber могут инициировать атаки. Проблема обусловлена некорректным применением функции, предназначенной для проверки источника AJAX-запросов.
Уязвимость затрагивает версии WPForms от 1.8.4 до 1.9.2.1. Разработчики выпустили исправление в версии 1.9.2.2, но около 3 миллионов сайтов по-прежнему функционируют на уязвимых версиях. Компания Wordfence настоятельно рекомендует администраторам обновить плагин до безопасной версии или временно его отключить.
Уязвимость в плагине Hunk Companion может использоваться для установки других уязвимых плагинов WordPress
Злоумышленники активно использует уязвимость в плагине Hunk Companion для WordPress, которая дает возможность устанавливать другие уязвимые плагины. Уязвимость с идентификатором CVE-2024-11972 (9,8 по CVSS) затрагивает все версии до 1.9.0. Плагин Hunk Companion насчитывает более 10 тысяч активных установок, однако лишь 12% пользователей обновили его, что ставит под угрозу около 9000 сайтов.
Специалисты WPScan предупреждают, что это уязвимость может привести к удаленному выполнению кода (RCE), SQL-инъекциям и созданию бэкдоров. Проблема была выявлена на одном из зараженных сайтов, где хакеры использовали уязвимость для установки плагина WP Query Console и RCE-уязвимости для запуска вредоносного кода.
Данная уязвимость является обходом исправления для похожей проблемы CVE-2024-9707. Кроме того, RCE-уязвимость в WP Query Console (CVE-2024-50498) все еще не устранена.
Ошибки в скрипте hunk-companion/import/app/app.php позволяют неаутентифицированным запросам миновать проверки прав на установку. Пользователям Hunk Companion настоятельно рекомендуется немедленно обновиться до версии 1.9.0.
Стилер Lumma внедряется через поддельные CAPTCHA
Эксперты Guardio Labs сообщили о новой кампании по распространению стилера Lumma, где злоумышленники используют фальшивые CAPTCHA. Они маскируются под легитимные предложения, побуждая пользователей выполнять команды PowerShell.
Эта инициатива называется DeceptionAds и использовалась в рекламе через сеть Monetag, где ежедневно отображается более миллиона объявлений на 3000 разных сайтов. За этой деятельностью, скорее всего, стоит хакерская группировка Vane Viper, которая применяет законные методы рекламы для обмана пользователей.
При нажатии на такое объявление срабатывает обфусцированный код, который проверяет, является ли пользователь настоящим человеком, а затем перенаправляет его на страницу с фальшивой CAPTCHA, маскируясь через сервис BeMob. На этой странице содержится JavaScript, который тайно копирует вредоносную PowerShell-команду в буфер обмена и предлагает жертве выполнить её с помощью Windows Run. В результате на устройство пользователя устанавливается стилер Lumma, который способен похищать файлы cookie, пароли и данные банковских карт.
Несмотря на то что 200 аккаунтов, связанных со злоумышленниками, были удалены, кампания снова активировалась с использованием другой рекламной сети.
