Злоумышленники атакуют сайты под управлением MODx Evo
Специалисты компании «Ревизиум» зафиксировали массовые атаки на сайты, работающие на базе CMS MODx Evolution. Компрометации подвергаются ресурсы под управлением различных версий CMS, в том числе самых актуальных.
В ходе атак злоумышленники эксплуатируют уязвимость в компоненте assets/snippets/ajaxSearch/classes/ajaxSearchConfig.class.inc.php, позволяющую внедрить бэкдор при помощи POST-запроса. Бэкдор сохраняется в базе данных и позволяет осуществлять различные действия: загружать вредоносные скрипты, производить манипуляции с файлами и базой данных, осуществлять дефейс и пр. В связи с тем, что бэкдор сохраняется в базе данных, он не детектируется сканерами файлов на хостинге. Даже в случае успешного удаления всех загруженных вредоносных скриптов у злоумышленника остается возможность повторной их загрузки.
По данным экспертов, атаки осуществляются с арендованных VPS серверов. Бот выполняет POST-запрос, загружает на сайт скрипт-загрузчик и через некоторое время использует его для размещения вредоносных скриптов на ресурсе.
На GitHub уже доступен патч, устраняющий вышеуказанную уязвимость.
Также эксперты зафиксировали атаки на MODx-сайты через популярный скрипт, часто использующийся в различных плагинах галерей. Скрипт является частью evogallery и содержит уязвимость, позволяющую загрузить произвольный файл, в том числе вредоносный.
Специалисты рекомендуют владельцам сайтов, использующих модуль галереи с uploadify и функцию ajax поиска, оперативно установить патчи. Если модуль и функция не используются, эксперты рекомендуют удалить uploadify.php и переименовать скрипт index-ajax.php.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш