Эксперты Wordfence обнаружили нестандартную атаку на сайты, основанные на популярном движке WordPress. Первые атаки были обнаружены в мае, активность продолжалась до середины июня, а в июле достигла начала стремительно расти. Злоумышленники (пока не идентифицированы) используют ПО для сканирования сайтов и выявления ресурсов, которые установлены недавно. Также осуществлялся поиск сайтов, владельцы которых не завершили процесс развертывания CMS.
Атакующих интересует страница setup-config.php, расположенная в директории wp-admin. Данная страница остается, если владелец сайта не прошел завершающий этап установки WordPress (в этот момент ресурс полноценно работает, но не настроен). Это позволяет легко получить доступ к чужому сайту. Причем в некоторых случаях злоумышленник может получить доступ к аккаунту на хостинге, что позволяет скомпрометировать все сайты, относящиеся к учетной записи.
Масштабная вредоносная кампания получила название WPSetup Attack. Имея возможность завершить установку, злоумышленники создают собственный аккаунт администратора. Это в дальнейшем позволяет выполнять произвольный код PHP (при помощи плагинов или редактора тем), что и позволяет получить контроль над сервером.
Аналитики опасаются, что в ближайшее время может начаться очередная волна массовых сканирований, а также предупреждают, что количество потенциально уязвимых сайтов (с незавершенной установкой) значительно. Исследователи рекомендуют администраторам более тщательно следить за безопасностью своих ресурсов.
Ранее специалисты Wordfence также анонсировали отчет об уровне защищенность CMS WordPress. Из публикации следует, что в июне в сутки было зарегистрировано порядка 7,2 миллионов атак. Это на 32% больше аналогичного показателя в мае. Количество атак при помощи перебора (брутфорс) также увеличилось — на 36%. Максимальная активность — 41 миллион атак в сутки. В июле же цифры вновь дают положительную динамику.
