Система управления контентом WordPress содержала в себе уязвимость нулевого дня, которой успели воспользоваться тысячи хакеров. Компания Sucuri сообщает, что множество сайтов были взломаны, поскольку их администраторы не стали торопиться устанавливать обновление WordPress, закрывающее уязвимость.
Пару недель назад разработчики WordPress сообщили, что выпускают обновление безопасности для трёх уязвимостей в системе управления контентом. Сообщение было коротким и не содержало в себе много информации. Неделю спустя разработчики объяснили, что масштабная уязвимость появилась вместе с предыдущим обновлением безопасности и позволяла хакерам дистанционно редактировать и удалять страницы сайтов на WordPress.
Таким образом, владельцам сайтов давалась неделя на установку обновления и закрытие уязвимостей. Естественно, все этого не сделали и в течение 48 часов после обнародования информации об уязвимости начались атаки на сайты.
Sucuri пишет, что отслеживает четыре хакерских группы, которые ведут масштабное сканирование сайтов в поиске уязвимости. Одна из них уже взломала больше 66 тысяч страниц, число продолжает расти. Речь может идти о группе w4l3XzY3, подозреваются IP-адреса 176.9.36.102, 185.116.213.71, 134.213.54.163, 2a00:1a48:7808:104:9b57:dda6:eb3c:61e1.
Вторая кампания началась недавно и пока затронула около 500 страниц, называется IP-адрес 37.237.192.22 и хакерская группа Cyb3r-Shia. Третья кампания также затронула около 500 страниц, IP-адрес 144.217.81.160, хакеры By+NeT.Defacer и By+Hawleri_hacker.