8 сентября 2022 года команде Wordfence стала известна уязвимость плагина WPGateway. Уязвимость активно эксплуатируется и является уязвимостью нулевого уровня. Используется для добавления злонамеренного администратора на сайты с подключённым плагином WPGateway.
Уязвимость плагина WPGateway
Плагин WPGateway — это премиум плагин, привязанный к облачному сервису WPGateway, который предлагает своим пользователям возможность настраивать сайты WordPress и управлять ими с единой панели управления.
Часть функционала плагина создаёт уязвимость, которая позволяет злоумышленникам, не прошедшим проверку подлинности, ввести злонамеренного администратора. Злоумышленник с правами администратора фактически добился полного захвата сайта.
Wordfence получили текущую копию подключаемого плагина 9 сентября 2022 г. и определили, что он уязвим. После чего связались с поставщиком подключаемого модуля и сообщили о своём раскрытии.
Если вы видите, что этот пользователь добавлен на вашу панель инструментов, это означает, что ваш сайт был взломан.
Кроме того, вы можете проверить журналы доступа вашего сайта на наличие запросов на//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1
Если эти запросы присутствуют в ваших журналах, они указывают на то, что ваш сайт был атакован с использованием эксплойта.
Если вы пытаетесь определить, был ли сайт скомпрометирован с помощью этой уязвимости, наиболее распространенным индикатором компрометации является злонамеренный администратор с именем пользователя rangex.
Вывод
Если у вас установлен плагин WPGateway, Wordfence настоятельно рекомендует немедленно удалить его, пока не будет выпущено исправление, и проверить наличие злонамеренных администраторов на панели управления WordPress. Сейчас уязвимость плагина WPGateway существует и используется.
Если вы знаете друга или коллегу, который использует этот плагин на своём сайте, мы настоятельно рекомендуем направить им этот совет, чтобы защитить их сайты. Это серьёзная уязвимость, которая активно эксплуатируется.
