Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE

8 февраля 2017 года

Спустя менее недели с момента публикации информации о критической уязвимости в реализации REST API в системе управления web-контентом WordPress, отмечается волна автоматизированных атак, в результате которых осуществляется дефейс страниц или размещение SEO-спама. Жертвами атаки становятся пользователи ветки WordPress 4.7, не установившие обновление 4.7.2. Одна из атак по дефейсу через уязвимость в REST API уже затронула 127 тысяч страниц (вчера было 95 тысяч, позавчера - 66 тысяч).

Интересно, что в число жертв атаки попал официальный сайт новостей проекта openSUSE - news.opensuse.org, некоторые страницы которого были заменены на сообщение с флагом Курдистана. Это не первый взлом сайтов проекта, в 2014 году успешно был атакован форум OpenSUSE (forums.opensuse.org).

Представители проекта openSUSE в ответ на запрос журналистов подтвердили факт взлома и рассказали, что почти сразу проблема была устранена. Сервер, на котором функционировал взломанный сайт, не был связан со сборочной инфраструктурой, репозиториями и сайтами загрузки, но был размещён на одном виртуальном хосте с сайтами www.opensuse.org, lizards.opensuse.org и forums.opensuse.org. Официальное объявление о взломе на сайте openSUSE или в списках рассылки пока отсутствует. Судя по коду страницы уязвимость устранена и сайт уже обновлён до версии 4.7.2. Ограничились ли атаки подменой страницы пока не понятно (при использовании некоторых плагинов уязвимость можно использовать для организации выполнения PHP-кода на сервере).

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Через уязвимость в WordPress атакующие подменили страницы сайта openSUSE», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.