С февраля 2025 года в России наблюдается резкий всплеск кибератак через уязвимость в популярной системе управления контентом (CMS) с открытым исходным кодом WordPress. Об этом «Газете.Ru» сообщили в пресс-службе российской компании в сфере информационной безопасности (ИБ) Bi.Zone. Российские специалисты уверены, что рост числа инцидентов произошел после публикации исследования других ИБ-экспертов — из компании Sucuri.
Согласно данным Bi.Zone, после обнародования исследования Sucuri, детально описывающего метод эксплуатации уязвимости, количество атак многократно возросло. За несколько дней было зарегистрировано свыше 250 попыток проникновения на ресурсы 13 российских организаций.
Киберзлоумышленники эксплуатируют брешь в системе обязательных плагинов WordPress, известных как must-use plugins. Эти модули, в отличие от стандартных дополнений, активируются автоматически при загрузке каждой страницы сайта и не требуют явной активации через административную панель. Размещая вредоносные PHP-файлы в директории wp-content/mu-plugins/, преступники получают возможность скрытно внедрять свой код, который исполняется при каждом обращении к веб-ресурсу.
С помощью внедрения вредоносного кода через must-use plugins злоумышленники реализуют различные цели: от несанкционированного перенаправления посетителей на сторонние сайты и распространения вредоносного программного обеспечения до установки веб-шеллов для получения постоянного доступа к ресурсу и внедрения вредоносного JavaScript-кода.
Несмотря на отсутствие официальной оценки уязвимости по шкале CVSS, специалисты Bi.Zone квалифицируют данный вектор атак как критический, подчеркивая возможность получения злоумышленниками доступа к веб-шеллу.
Для обеспечения превентивной защиты от подобных атак компаниям рекомендуется усилить контроль за изменениями в работе веб-приложений и регулярно проверять содержимое директории mu-plugins на наличие подозрительных файлов.
Ранее россиянам напомнили об уголовной ответственности за сдачу аккаунтов в аренду.
