С февраля 2025 года специалисты BI.ZONE WAF фиксируют рост атак на сайты WordPress — системы управления контентом (CMS) с открытым исходным кодом; при этом после публикации исследования Sucuri, где подробно описана техника эксплуатации, обнаружен резкий всплеск активности злоумышленников: более 250 попыток атак на 13 организаций за несколько дней, сообщает BI.ZONE.
Техника эксплуатации уязвимости найдена в модуле must-use plugins — это тип плагинов для WordPress, которые запускаются при каждой загрузке страницы и не требуют активации. Они представляют собой PHP-файлы, хранящиеся в директории wp-content/mu-plugins/, которые автоматически выполняются при загрузке страницы и не отображаются в панели администрирования.
Как правило, злоумышленники используют содержимое must-use plugins:
- для перенаправления посетителей ресурса на сторонние сайты и загрузки вредоносного ПО;
- эксплуатации веб-шелла, который действует как бэкдор;
- загрузки вредоносного JavaScript-кода.
Вектор атаки еще не получил оценку по шкале CVSS, однако специалисты BI.ZONE WAF определяют ее как критическую, поскольку эта техника позволяет обращаться к веб-шеллу.
В связи с тем, что угроза связана с техникой эксплуатации системы WordPress, уязвимость не входит в базу известных CVE и многие средства защиты блокируют в рамках общих правил только последствия ее эксплуатации.
В качестве превентивной защиты специалисты рекомендуют компаниям обращать внимание на возможные изменения в работе приложения или отслеживать содержание директории mu-plugins. Исследователи BI.ZONE WAF уже разработали детектирующие правила для предотвращения эксплуатации техники, найденной в плагине must-use plugins ПО WordPress.
BI.ZONE WAF обеспечивает многоуровневую защиту веб‑приложений и API, блокируя попытки эксплуатации известных уязвимостей и противодействуя ботнет‑активности, говорится в сообщении.
