Новости WordPress, Joomla, Craft CMS. Хакеры массово взламывают сайты по всему миру через 15 уязвимостей

NewsMaker

I'm just a script
Премиум
28,322
46
8 Ноя 2022
Специалисты предупредили о кампании по взлому сайтов малого и среднего бизнеса.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
az1hibuexl15qp6uy78i82tdtlfenhd2.jpg

Злоумышленники массово взламывают сайты по всему миру и устанавливают на серверы скрытые средства, чтобы удалённо управлять ими. Кампания уже затронула множество малых и средних компаний в Австралии, однако атаки не ограничены одной страной.

Австралийский центр кибербезопасности сообщил, что атакующие автоматически сканируют сайты и ищут уязвимые системы управления содержимым и расширения. Найденные ошибки позволяют загружать файлы без авторизации, выполнять команды на сервере, отправлять запросы от его имени или обрабатывать специально подготовленные данные.

После того как сайт взломан, злоумышленники устанавливают веб-оболочки , которые дают постоянный удалённый доступ к серверу. Через них преступники могут менять или отключать сайты, перехватывать введённые посетителями пароли, похищать хранящиеся данные, загружать вредоносные программы и использовать сервер как точку входа во внутреннюю сеть компании.

В кампании применяют уязвимости в следующих программах и расширениях:

Simple File List для WordPressCVE-2020-36847 (9.8 Critical). Указанная в предупреждении CVE-2025-34085 отклонена как дубликат этой уязвимости;
WavePlayer для WordPress – CVE-2025-12057 (9.8 Critical);
BerqWP для WordPress – CVE-2025-7443 (8.1 High);
WPBookit для WordPress – CVE-2025-7852 (9.8 Critical);
Ninja Forms File Uploads для WordPress – CVE-2026-0740 (9.8 Critical);
ThemeREX Addons для WordPress – CVE-2026-1969 (9.8 Critical);
Breeze Cache для WordPress – CVE-2026-3844 (9.8 Critical);
pay-uz для WordPress – CVE-2026-31843 (10.0 Critical);
Advanced Custom Fields: Extended для WordPress – CVE-2025-13486 (9.8 Critical);
Sneeit Framework для WordPress – CVE-2025-6389 (9.8 Critical);
WPvivid Backup & Migration для WordPress – CVE-2026-1357 (9.8 Critical);
Gravity Forms для WordPress – CVE-2025-12352 (9.8 Critical);
GutenKit и Hunk Companion для WordPress – CVE-2024-9234 (9.8 Critical). Австралийский центр кибербезопасности считает связь атак с этой уязвимостью вероятной;
Craft CMS – CVE-2025-32432 (9.8 Critical);
MaxSite CMS – CVE-2026-3395 (7.3 High);
MetInfo CMS – CVE-2026-29014 (9.8 Critical);
Joomla Content Editor – CVE-2026-48907 (10.0 Critical).
Австралийские специалисты советуют проверить каталоги сайтов и расширений на неизвестные или недавно изменённые файлы, а журналы доступа – на подозрительные запросы GET и POST. Сервер с найденной веб-оболочкой следует считать полностью скомпрометированным, изолировать от сети и проверить, не появились ли новые учётные записи и вредоносные программы, не пытались ли атакующие вывести данные и не перемещались ли они между системами.

Администраторам также рекомендуют изучить более ранние записи в журналах и найти запросы, через которые злоумышленники могли первоначально взломать сайт и загрузить веб-оболочку. Сетевые журналы и записи межсетевых экранов помогут обнаружить соединения заражённого сервера с внешними адресами.

Уязвимые компоненты нужно обновить, а расширения без исправлений временно отключить. После того как вредоносные файлы удалят или изолируют, сервер нельзя возвращать в сеть, пока его полностью не проверят. Если сайт взломан, его рекомендуют восстановить из недавней заведомо чистой резервной копии.

Чтобы дополнительно защититься, организациям предлагают запретить запись в каталоги сайта, где ничего не должно меняться, ограничить доступ к файлам и путям, контролировать, какие дочерние процессы запускает веб-сервер, и отделить общедоступные сайты от корпоративной сети. Если исправления устанавливаются автоматически, это тоже может сократить время, в течение которого сайт остаётся уязвимым.

Если нельзя полностью запретить создавать файлы, администраторам советуют контролировать любые изменения, которые выходят за рамки утверждённых работ. Такой подход помогает быстрее обнаружить веб-оболочку и сократить срок её работы на заражённом сервере.
 
Источник новости
www.securitylab.ru

Похожие темы