Wordfence сообщила о масштабной кампании по компрометации сайтов на WordPress, где злоумышленники эксплуатируют критические изъяны в плагинах GutenKit и Hunk Companion. За двое суток система защиты заблокировала 8,7 млн попыток атак на клиентов — показатель, указывающий на автоматизированный, массовый характер злоупотреблений.
Критические CVE и поражённые версии плагинов
В ходе кампании используются три уязвимости уровня CVSS 9,8: CVE-2024-9234, CVE-2024-9707 и CVE-2024-11972. Они дают возможность удалённого выполнения кода (RCE) на уязвимых сайтах и связаны с ошибками авторизации в REST API.
CVE-2024-9234 затрагивает GutenKit (около 40 000 активных установок): неаутентифицированный REST-эндпоинт позволяет устанавливать произвольные плагины без проверки прав. Уязвимы версии 2.1.0 и ниже.
CVE-2024-9707 и CVE-2024-11972 связаны с REST-эндпоинтом themehunk-import плагина Hunk Companion (примерно 8 000 установок), также позволяя установку произвольных плагинов. Под ударом версии 1.8.4 и ниже (CVE-2024-9707) и 1.8.5 и ниже (CVE-2024-11972).
Цепочка атаки: от злоупотребления REST до полного контроля
По данным Wordfence, после первоначального доступа злоумышленники загружают с GitHub ZIP-архив с вредоносным плагином под названием “up”. Внутри обнаружены обфусцированные скрипты для загрузки/выгрузки и удаления файлов, изменения прав доступа, а также модуль, маскирующийся под компонент All in One SEO и автоматически аутентифицирующий атакующего как администратора (скрипт защищён паролем).
Эти инструменты обеспечивают устойчивое присутствие на сервере: злоумышленники могут исполнять команды, похищать и подменять файлы, а также перехватывать приватные данные. Если прямой вектор через уязвимый плагин блокируется, нередко дополнительно внедряется плагин wp-query-console, предоставляющий исполнение кода без аутентификации.
Индикаторы компрометации и что проверить
Подозрительные REST-запросы
Администраторам рекомендуется анализировать логи на предмет обращений к эндпоинтам: /wp-json/gutenkit/v1/install-active-plugin и /wp-json/hc/v1/themehunk-import. Wordfence также опубликовала набор IP-адресов, генерирующих аномально большие объёмы вредоносных запросов.
Необычные директории и файлы
Проверьте наличие артефактов в каталогах: /up, /background-image-cropper, /ultra-seo-processor-wp, /oke и /wp-query-console. Наличие неизвестных PHP- или ZIP-файлов, обфусцированного кода или неожиданных задач cron — весомый повод к изоляции и форензике.
Почему атаки продолжаются спустя выход патчей
Исправления для всех трёх изъянов доступны почти год: GutenKit 2.1.1 — с октября 2024, Hunk Companion обновлён до 1.9.0 — в декабре 2024. Тем не менее, множество сайтов остаются на старых версиях, подпадая под классическую проблему “окна уязвимости” между выпуском патча и его установкой. С точки зрения OWASP, это сочетание Broken Access Control и ошибок конфигурации ускоряет компрометацию в массовых кампаниях.
Практические меры защиты для администраторов WordPress
- Немедленно обновить: GutenKit ≥ 2.1.1, Hunk Companion ≥ 1.9.0. Удалить устаревшие и неиспользуемые плагины.
- Проверить журналы запросов к REST API и ограничить доступ к установке плагинов (константа DISALLOW_FILE_MODS в wp-config.php, где это возможно).
- Включить веб-экран (WAF) и сигнатуры угроз, регулярно обновлять правила блокировки.
- Проводить регулярный контроль целостности (сканеры, сравнение хэшей), аудит пользователей и прав, ротацию паролей и ключей SALT.
- Изолировать скомпрометированные инстансы, провести форензику и перевыпустить административные учётные данные.
Текущая кампания демонстрирует, как быстро ошибки в авторизации REST-эндпоинтов превращаются в полный захват сайта. Массовые сканирования, злоупотребление легитимными платформами хранения (GitHub) и использование маскирующихся плагинов делают атаку дешёвой и эффективной. Чтобы снизить риск, необходимо поддерживать актуальность плагинов, ограничивать потенциально опасные функции, применять WAF и отрабатывать инциденты по чёткому плану. Чем меньше “окно уязвимости” между выпуском патча и его установкой — тем ниже шансы стать частью следующей статистики Wordfence.
