Hakerlar WordPress mu-Plaginlaridan spam kiritish va sayt rasmlarini oʻgʻirlashda foydalanmoqda

Tahdidchilar WordPress saytlaridagi "mu-plugins" katalogidan zararli kodni yashirish uchun foydalanmoqda. Ularning maqsadi – doimiy masofaviy kirishni saqlab qolish va sayt tashrifchilarini soxta sahifalarga yoʻnaltirish.

mu-plugins (must-use plugins – majburiy ishlatiladigan plaginlar) maxsus katalogda joylashgan plaginlarni anglatadi ("wp-content/mu-plugins"). Bu plaginlar WordPress tomonidan avtomatik ravishda ishga tushiriladi va ularni ma'mur paneli orqali qoʻlda yoqish shart emas. Shu sababli, bu katalog zararli dasturlarni joylashtirish uchun ideal joy hisoblanadi.

"Bu yondashuv xavotirli tendensiyani anglatadi, chunki mu-plugins (Must-Use plugins) standart WordPress plagin interfeysida koʻrinmaydi. Natijada, ular kamroq eʼtiborga tushadi va foydalanuvchilar ularni oddiy xavfsizlik tekshiruvlari paytida eʼtiborsiz qoldirishi osonroq bo‘ladi," – deya ta’kidlagan Sucuri tadqiqotchisi Puja Srivastava oʻz tahlilida.

Veb-sayt xavfsizlik kompaniyasi tomonidan tahlil qilingan hodisalarda katalogda uch xil turdagi soxta PHP kodlari aniqlangan:

- "wp-content/mu-plugins/redirect.php", bu sayt tashrif buyuruvchilarini tashqi zararli veb-saytga yo‘naltiradi;

- "wp-content/mu-plugins/index.php", veb-qobiqqa o‘xshash funksionallikni taqdim etadi, bu esa hujumchilarga GitHub’da joylashgan masofaviy PHP skriptini yuklab olib, ixtiyoriy kodni ishga tushirish imkonini beradi(web-shell);

- "wp-content/mu-plugins/custom-js-loader.php", zararlangan veb-saytga istalmagan spamni kiritadi, ehtimol firibgarliklarni targ‘ib qilish yoki SEO reytinglarini manipulyatsiya qilish maqsadida saytdagi barcha tasvirlarni ochiq-oydin kontent bilan almashtiradi va tashqi havolalarni zararli saytlarga o‘g‘irlatadi.

Sucuri ma’lumotlariga ko‘ra, "redirect.php" veb-brauzer yangilanishi sifatida niqoblanib, qurbonlarni ma’lumotlarni o‘g‘irlashi yoki qo‘shimcha zararli yuklamalarni tashlashi mumkin bo‘lgan zararli dasturni o‘rnatishga ishontirib kiradi.

"Skriptda joriy tashrif buyuruvchining bot ekanligini aniqlaydigan funksiya mavjud," deb tushuntirdi Srivastava. "Bu skriptga qidiruv tizimi ko'zdan kechirishlarini istisno qilish va ularning yo‘naltirish harakatini sezmasligini oldini olish imkonini beradi."

Bu yangilik xavfli harakatlar WordPress saytlarini zararlangan joy sifatida ishlatib, veb-sayt tashrif buyuruvchilarini Google reCAPTCHA yoki Cloudflare CAPTCHA tekshiruvi niqobi ostida Windows kompyuterlarida zararli PowerShell buyruqlarini ishga tushirishga aldashda davom etayotgani bilan bog‘liq. Bu ClickFix deb ataladigan keng tarqalgan taktika bo‘lib, Lumma Stealer zararli dasturini yetkazib berishga xizmat qiladi.

Hakerlar buzib kirgan WordPress saytlarida zararli JavaScript kodlari ham joylashtirilmoqda. Bu kodlar tashrifchilarni nomaqbul uchinchi tomon domenlariga yo‘naltirishi yoki chekaut sahifalarida kiritilgan moliyaviy ma’lumotlarni o‘g‘irlash uchun skimmer sifatida ishlashi mumkin.

Hozircha saytlar qanday buzilgani aniq emas. Biroq, odatiy sabablar orasida zaif plaginlar yoki mavzular, buzilgan ma'mur hisoblari va noto‘g‘ri sozlangan serverlar borligi taxmin qilinmoqda.

Patchstack'ning yangi hisobotiga ko‘ra, tahdidchilar yil boshidan beri WordPress plaginlaridagi to‘rtta turli xavfsizlik zaifliklaridan muntazam foydalanib kelmoqda:

• CVE-2024-27956 (CVSS bahosi: 9.9) – WordPress Automatic Plugin (AI kontent generator va avtomatik post joylashtiruvchi plagin) dagi tasdiqlovsiz istalgan SQL buyrug‘ini bajarish zaifligi.

• CVE-2024-25600 (CVSS bahosi: 10.0) – Bricks mavzusidagi tasdiqlovsiz masofaviy kod ishlatish zaifligi.

• CVE-2024-8353 (CVSS bahosi: 10.0) – GiveWP plaginidagi tasdiqlovsiz PHP obyekt injekshni orqali masofaviy kod bajarish zaifligi.

• CVE-2024-4345 (CVSS bahosi: 10.0) – Startklar Elementor Addons plaginidagi tasdiqlovsiz istalgan fayl yuklash zaifligi.

Ushbu tahdidlarga qarshi xavfsizlik choralarini ko‘rish uchun WordPress sayt egalari plaginlar va mavzularni doimiy ravishda yangilab turishi, zararli kod mavjudligini tekshirishi, kuchli parollarni joriy qilishi va veb-ilovalar uchun xavfsizlik devori (WAF) o‘rnatib, zararli so‘rovlar va kod injekshnlarining oldini olishi lozim.